|
Commission de la Justice |
Commissie
voor Justitie |
|
du Mardi 26 janvier 2021 Matin ______ |
van Dinsdag 26 januari 2021 Voormiddag ______ |
De openbare commissievergadering wordt geopend om 11.02 uur en voorgezeten door mevrouw Kristien Van Vaerenbergh.
La réunion publique de commission est ouverte à 11 h 02 et présidée par Mme Kristien Van Vaerenbergh.
01 Interpellation de Nabil Boukili à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "L'affaire Frank Robben" (55000078I)
01 Interpellatie van Nabil Boukili aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "De zaak-Frank Robben" (55000078I)
01.01 Nabil Boukili (PVDA-PTB): Monsieur le secrétaire d'État, lors de votre exposé général, vous avez déclaré vouloir renforcer la confiance du citoyen. Vous dites souhaiter avoir l'assurance que les gens puissent partager leurs données à caractère personnel dans le respect des mesures garanties par le règlement général sur la protection des données (RGPD). C'est un souhait louable. Le respect des droits fondamentaux – et notamment du droit à la vie privée – est une partie essentielle du combat du PTB. À cette occasion, j'avais pu vous interroger sur l'affaire Frank Robben.
Le public le connaît peu, il est pourtant l'homme de référence de l'administration et des gouvernements successifs en matière de protection des données et d'informatisation du service public. Affilié au CD&V, Frank Robben a été inséré dans le système dans les années 80, à l'initiative de Jean-Luc Dehaene. Sa première mission était de créer la Banque Carrefour de la Sécurité Sociale (BCSS), qui encore aujourd'hui relie toutes les institutions de sécurité sociale du pays pour leur permettre d'échanger des données. Par exemple, c'est sur la base des échanges opérés par la Banque Carrefour, qu'un CPAS peut disposer des informations du registre national ou de l'INAMI. Autre exemple: si j'émarge au chômage en tant qu'isolé mais qu'un cohabitant se domicilie chez moi, c'est par cette Banque Carrefour que l'ONEM sera informé de mon nouveau statut.
Depuis 2018, ces échanges de données ne sont plus autorisés par des lois mais bien par un comité nébuleux: le Comité de sécurité de l'information (CSI), logé et nourri par la Banque Carrefour de la Sécurité Sociale, donc par M. Robben. On comprend donc l'impact prépondérant des technologies d'échange de données sur les citoyens, particulièrement dans une matière aussi sensible que la sécurité sociale. Des décisions préjudiciables ou bénéficiaires d'une aide sociale peuvent en effet être prises sur la base d'un recoupement de données.
Fort de cette première expérience au service public, Frank Robben va étoffer son CV au cours des décennies suivantes: en 1995, il est membre de la Commission de la protection de la vie privée; en 2000, il y a la mise en place du SPF Technologie de l'Information et de la Communication, aujourd'hui nommé SPF BOSA; il est responsable de la coordination des différents projets d'e-government; en 2004, il est désigné comme administrateur délégué de Smals, une ASBL responsable de quasiment tous les projets d'informatique du service public; en 2007 il est impliqué dans le développement de la plateforme eHealth, l'équivalent en matière de santé de la BCSS; en 2014, il participe au développement du cloud gouvernemental; il est membre du Centre de Connaissances de l'Autorité de protection des données; il est membre du comité de pilotage de l'Agence fédérale belge pour la simplification administrative; il est le créateur du Comité de sécurité de l'information – et j'en passe probablement.
Selon Cumuleo, en 2018, Frank Robben était encore titulaire de vingt mandats et non des moindres. Il est toujours impliqué dans les différentes structures que j’ai citées à des niveaux de direction ou comme conseiller. Frank Robben est donc partout et cela lui rapporte entre 356 000 et 376 000 euros par an. Pour mettre les choses en perspective, le salaire de Charles Michel, notre ancien premier ministre, s’élevait à 257 000 euros. Le président des États-Unis perçoit quant à lui un salaire d'environ 360 000 euros. En clair, le conseiller principal en informatique et vie privée d'un pays de onze millions d'habitants gagne autant voire plus que le président de la première puissance mondiale.
Cette situation est scandaleuse en soi et ne s'arrange pas lorsqu'on examine les différents mandats de M. Robben qui font apparaître les multiples conflits d’intérêts qui lui ont été reprochés à diverses reprises par les spécialistes du secteur, mais aussi par Mme Gerkens, ma collègue du parti Ecolo qui avait dénoncé cette situation l'année dernière, comme l'avaient fait, en 2018, Peter Dedecker de la N-VA et Laurette Onkelinx du PS, respectivement en commission de la Santé et en séance plénière dans le cadre de la création du CSI.
L'Autorité de protection des données (APD) de notre pays a pour mission de contrôler le bon respect du règlement général sur la protection des données. C'est le chien de garde de la vie privée en Belgique. Elle vérifie si la législation est bien appliquée dans l'intérêt du citoyen. Frank Robben en est membre et y exerce une influence prépondérante. Cette autorité peut dès lors être amenée à se pencher sur la Banque Carrefour de la Sécurité Sociale ou encore sur eHealth, dont l’administrateur est Frank Robben. Plus globalement, M. Robben étant impliqué dans tous les projets publics faisant intervenir des échanges de données, il est en conflit d'intérêts permanent. Il est donc à la fois contrôleur et contrôlé.
On notera au passage que le mandat de M. Robben à l’APD est illégal puisqu’il ne respecte pas les règles de nomination qui excluent tout membre titulaire d’un mandat public. C’est également le cas de deux autres conseillers de l’APD, Mme Séverine Waterbley et M. Nicolas Waeyaert qui sont directeurs généraux au SPF Économie et respectivement futur président du SPF Économie et future présidente du SPF BOSA si on en croit les rumeurs.
J'ai dit que l'intéressé était aussi actif au Comité de sécurité de l'information, qu'il a d'ailleurs créé. Ce comité inauguré en 2018 est lui aussi illégal. Il a été jugé contraire au RGPD par le Conseil d'État, dont l'avis a pourtant été ignoré.
La Commission européenne a également émis de sérieux doutes. On ne sait d'ailleurs pas bien à quoi sert ce comité dont la mission recoupe celle de l'APD, seule autorité légale en matière de protection de la vie privée de notre pays. J'ai expliqué que la BCSS permet l'échange de données entre toutes les institutions sociales de notre pays. La plate-forme eHealth joue le même rôle mais relie quant à elle les différentes institutions de santé. Non content d'avoir créé ces deux plate-formes, M. Robben est à la tête des deux. On croit donc rêver lorsqu'on le lit indiquer que ces deux institutions sont normalement strictement séparées.
En outre, chargé d'abord par Koen Geens puis par Vincent Van Quickenborne, il est en train d'exporter ses modèles informatiques aux échanges de données en matière judiciaire et de renseignement. Ceci a été relevé avec une certaine préoccupation par les collègues André Flahaut et Georges Dallemagne, en commission Comptabilité en décembre dernier.
À lui seul, M. Robben centralise donc la quasi-intégralité des données personnelles des citoyens belges. Il dispose de leurs données sociales mais aussi de leurs données de santé et bientôt de leurs données judiciaires. Il est aussi le contrôleur chargé de vérifier que tout ceci respecte bien la vie privée.
La crise a encore été une nouvelle opportunité pour lui puisqu'il est aujourd'hui également en charge du tracing. Je citerai Emmanuel André, bien connu de nos concitoyens. Il a été confronté au personnage et il le qualifie de "totalitaire, extrêmement puissant, capable à lui seul de faire tomber un gouvernement". Il poursuit: "Frank Robben est au cœur d'une situation de monopole sur le marché des données de santé publique et de sécurité sociale. À partir du moment où il occupe à la fois les cénacles du pouvoir et du contre-pouvoir, nous sommes tous pris dans sa toile".
On sait à quel point la politique de tracing est essentielle dans le cadre de la lutte contre le coronavirus. C'est grâce à une politique de tracing efficace appuyée sur la confiance des citoyens en leurs institutions que des pays comme la Corée du Sud ont pu maîtriser l'épidémie. Vu ce qui précède, on peut se poser la question de savoir à quel point l'influence de Frank Robben a été prépondérante dans la situation actuelle du tracing dans notre pays.
Le PTB refuse que les fondations d'un État policier soient mises en place sans réagir.
Nous ne pouvons laisser les droits des citoyens être bafoués. La vie privée des gens n'est pas une marchandise qu'on peut échanger à volonté. Sans contrôle d'un contre-pouvoir réellement indépendant, les multiples conflits d'intérêts au cœur de l'Autorité de protection des données (…)
L'alarme incendie retentit.
Het brandalarm weerklinkt.
La présidente: Ceci n'est pas une alarme signalant que votre temps de parole est écoulé, il vous reste une vingtaine de secondes. S'agit-il d'un exercice?
La salle est évacuée.
De zaal wordt ontruimd.
Le développement des questions et interpellations est suspendu de 11 h 12 à 11 h 24.
De behandeling van de vragen en interpellaties wordt geschorst van 11.12 uur tot 11.24 uur.
01.02 Nabil Boukili (PVDA-PTB): Madame la présidente, comme il me restait quarante secondes, je vais conclure.
Monsieur le secrétaire d'État, le PTB refuse que les fondations d'un État policier soient posées sans aucune réaction. Nous ne pouvons pas laisser les droits des citoyens être bafoués. La vie privée des gens n'est pas une marchandise qu'on peut échanger à volonté. Sans contrôle d'un contre-pouvoir véritablement indépendant, les multiples conflits d'intérêts au cœur de l'Autorité de protection des données et d'autres institutions anéantissent la protection du droit à la vie privée.
Si vous voulez sincèrement restaurer la confiance du citoyen, je vous demande de vous inscrire en faux contre ces violations des droits fondamentaux et de développer une politique qui soit véritablement susceptible de garantir à nos concitoyens une protection suffisante. Il s'agit d'un enjeu sanitaire, puisque la confiance est indispensable à la lutte contre le coronavirus, mais également d'un enjeu démocratique.
Monsieur le secrétaire d'État, que pensez-vous de la situation de conflits d’intérêts dans laquelle se trouve M. Robben du fait de ses nombreux mandats, notamment comme administrateur de la plate-forme gérant des données personnelles et membre de l’Autorité de protection des données? Comptez-vous y remédier, et comment?
Avez-vous l'intention de faire remplacer trois conseillers de l’APD qui se trouvent dans une situation d’incompatibilité, puisqu’ils exercent des mandats publics?
Trouvez-vous normal qu’un spécialiste en informatique belge soit amené à toucher une rémunération supérieure à celle d’un premier ministre?
Quelle est l’ampleur exacte des responsabilités de M. Robben dans l’échec de la politique de tracing?
01.03 Mathieu Michel, secrétaire d'État: Premièrement, monsieur le député, permettez-moi de vous rappeler que la Banque Carrefour de la Sécurité Sociale et la plate-forme eHealth relèvent de la compétence du ministre de la Santé et des Affaires sociales, en ce compris les mandats qui y sont attribués et les personnes qui y sont désignées. Je ne peux donc que vous inviter à poser au ministre vos questions d'ordre plus individuel.
Deuxièmement, le raisonnement est totalement similaire pour ce qui concerne vos questions relatives à l'Autorité de protection des données (APD). Cette dernière est en effet un organe indépendant dont vous assurez, avec l'ensemble du Parlement, la tutelle. Dès lors, d'une part vous posez des questions auxquelles il vous revient de répondre et, d'autre part, il m'est tout simplement interdit de répondre sans sortir du rôle qui est le mien.
Monsieur le député, notre pays traverse une crise sans précédent. Les démocraties du monde sont confrontées presque quotidiennement à des débordements violents générés par une défiance qui s'immisce insidieusement à travers les innombrables fake news ou contenus nocifs, agressifs et harcelants qui ne cessent de se multiplier.
Les citoyens s'interrogent – à raison – sur les capacités de l'Europe de garantir la protection de leurs données personnelles face à certaines dérives. Cette méfiance constitue un risque fondamental face aux enjeux essentiels que nous traversons. Dans ce contexte, Monsieur Boukili, vous tentez de jeter le discrédit sur l'attention que nous portons à la protection des données. Il s'agit d'une attitude inadaptée. L'enjeu de la protection des données personnelles est bien trop grand pour qu'on y suscite la défiance, la crainte, la peur et le conflit.
Monsieur le député, la protection du droit à la vie privée en Belgique n'est pas, comme vous le dites, anéantie. La protection des données occupe toute notre attention, une attention constructive et positive. Nous devons être efficaces et proposer des outils transparents, agiles, accessibles et simples à l'ensemble de nos concitoyens. Ainsi, face à un usage et à un environnement qui évolue plus rapidement que son cadre législatif, je veux – et c'est essentiel – accélérer le processus d'évaluation de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel. Cette loi doit désormais sortir de l'enfance et gagner en maturité. En trois ans, les attentes ont considérablement évolué.
Ce processus d'évaluation devrait aboutir à une révision de la loi, processus au travers duquel j'identifie trois grands enjeux.
Premièrement, le renforcement de la protection des données; deuxièmement, la transparence à développer autour du traitement et de l'utilisation des données; et enfin troisièmement, le contrôle.
La loi organique de l'APD ne fait pas partie du cadre d'évaluation de la loi "vie privée" que nous allons entamer. Néanmoins, la loi "vie privée" dispose que la relation entre les différentes autorités de contrôle (l'APD, le contrôle de la formation policière, les comités R et P pour les services de renseignement) devra être évaluée et notamment, l'impact de ce paysage institutionnel sur les droits des citoyens en matière de vie privée. Indirectement, des questions relatives à l'APD surgiront et pourront être examinées dans le cadre de l'évaluation. Il ne nous appartient pas d'intervenir dans le fonctionnement concret de l'APD, ce rôle revenant au Parlement.
Pour conclure, monsieur le député, pour le bien de tous les citoyens, je pense qu'il ne faut pas tomber dans la caricature sur un enjeu aussi important. Soyons capables de mesurer l'ampleur de l'opportunité sanitaire, sociétale, humaine, que sont nos données pour générer l'innovation et le progrès au service de tous. Cette opportunité ne pourra se réaliser que dans la confiance indispensable dont l'État se doit d'être le garant. Il s'agit bien entendu de ma responsabilité de secrétaire d'État et de notre responsabilité à tous. Je vous remercie.
01.04 Nabil Boukili (PVDA-PTB): Monsieur le secrétaire d'État, je vous remercie pour votre réponse.
Je vous avoue qu'elle m'inquiète plus qu'elle ne me rassure. D'abord, vous dites, à juste titre, que eHealth et la Banque Carrefour de la Sécurité Sociale relèvent d'autres compétences. Le problème est bien là: c'est que M. Robben regroupe ces compétences.
Vous osez me dire que je jette le discrédit sur votre fonction. Au contraire. Moi, j'avais de l'espoir, en vous interpellant, que vous alliez réagir de manière assez conséquente face à un cas flagrant de conflit d'intérêts. Je comprends, de votre réponse, que c'est comme si tout allait bien et "circulez, il n'y a rien à voir".
Vous ne vous êtes pas prononcé sur la situation de M. Robben. Cautionnez-vous ce conflit d'intérêts ou non? Là-dessus, vous ne vous êtes pas prononcé. Je vous ai posé la question clairement et vous ne vous êtes pas prononcé.
Vous m'accusez, moi, de jeter le discrédit, mais ce qui jette le discrédit sur votre fonction, monsieur le secrétaire d'État, ce n'est pas moi. C'est cette situation. C'est cela, la caricature. Ce ne sont pas mes propos. La caricature, c'est le fait qu'une personne est à la fois à la tête de eHealth et de la Banque Carrefour de la Sécurité Sociale et en même temps conseiller dans l'APD, l'organe de contrôle de ces deux autres institutions. Elle est là, la caricature. Ce ne sont pas mes propos.
Moi, ce que je dis ici, c'est qu'aujourd'hui, nous sommes face à un problème de conflit d'intérêts flagrant, qui a été dénoncé par tous les spécialistes, qui a été dénoncé par d'autres députés. Aujourd'hui, je vous interpelle là-dessus et vous ne donnez aucune position.
Le Parlement a le pouvoir de contrôler l'APD. Je vais déposer une proposition. J'ai également une motion de recommandation pour soutenir le Parlement dans une démarche de destitution de M. Robben et des autres personnes qui sont en conflit d'intérêts dans l'APD.
Oui, le Parlement a ce pouvoir-là. Toutefois, vous, en tant que secrétaire d'État qui avez l'intention d'instaurer la confiance dans la population, vous avez aussi un devoir de prendre position sur ce genre de situation, sur ce conflit d'intérêts. Vous ne le faites pas et vous m'accusez, moi, de jeter le discrédit. Ce n'est pas moi qui jette le discrédit. Je joue pleinement mon rôle de parlementaire et de contrôleur. Je contrôle ce qui ne va pas dans notre société. À vous de vous positionner là-dessus. Le discrédit ne vient pas de mon côté, monsieur le secrétaire d'État. Le discrédit vient de la situation que nous vivons et du fait que vous ne répondez pas à cette problématique et que vous ne prenez aucune position.
La présidente: En conclusion de cette discussion les motions suivantes ont été déposées.
Tot besluit van deze bespreking werden volgende moties ingediend.
Une motion de recommandation a été déposée par M. Nabil Boukili et est libellée comme suit:
"La Chambre,
ayant entendu l'interpellation de M. Nabil Boukili
et la réponse du secrétaire d'État à la Digitalisation, chargé de la Simplification administrative, de la Protection de la vie privée et de la Régie des bâtiments, adjoint au premier ministre,
- considérant
que l'Autorité de protection des données (APD) doit, en vertu de la loi et du
règlement général sur la protection des données (RGPD), constituer une instance
de contrôle indépendante dans le but de protéger le droit à la vie privée des
citoyens;
- considérant
que la loi instituant l'APD a transposé le RGPD en prévoyant une série
d'incompatibilités s'appliquant aux membres de son Centre de Connaissances, de
sa chambre contentieuse ainsi qu'à son président;
- considérant
qu'il apparaît que M. Frank Robben, membre du Centre de Connaissances de
l'APD, se trouve dans une situation d'incompatibilité légale au sens de
l'article 38 de la loi APD, dès lors qu'il exerce un certain nombre de
mandats publics;
- considérant
que Mme Séverine Waterbley et M. Nicolas Waeyaert se trouvent dans la
même situation en leur qualité de directeurs généraux au SPF Economie;
- considérant
que M. Jelle Stassijns, membre de la chambre contentieuse, est par
ailleurs membre du personnel politique du groupe N-VA au parlement fédéral, ce
qui viole les exigences d'indépendance prévues à l'article 52 du RGPD,
directement applicable en droit belge;
- considérant
que M. David Stevens, président de l'APD, a participé à la task force "Data
Against Corona", ce qui constitue une activité incompatible au sens de
l'article 44 de la loi;
- considérant
qu'il convient de faire application de l'article 45 de la loi, laquelle
prévoit une procédure de destitution de tout membre qui ne respecte pas ou plus
les conditions de nomination;
demande au
gouvernement
de soutenir le lancement, par la Chambre, d'une procédure de destitution à l'encontre de tous les membres de l'APD en situation d'incompatibilités légales, conformément à l'article 45 de la loi APD."
Een motie van aanbeveling werd ingediend door de heer Nabil Boukili en luidt als volgt:
"De Kamer,
gehoord de interpellatie van de heer Nabil Boukili
en het antwoord van de staatssecretaris voor Digitalisering, belast met Administratieve Vereenvoudiging, Privacy en de Regie der gebouwen, toegevoegd aan de eerste minister,
- overwegende dat de Gegevensbeschermingsautoriteit krachtens de wet en de algemene verordening gegevensbescherming een onafhankelijke controle-instantie moet zijn teneinde het recht op privacy van de burgers te beschermen;
- overwegende dat de wet tot oprichting van de GBA een omzetting van de AVG is en er dientengevolge een reeks onverenigbaarheden bepaald werden die op de leden van het kenniscentrum, de geschillenkamer en de voorzitter van de GBA van toepassing zijn;
- overwegende dat de heer Frank Robben, lid van het kenniscentrum van de GBA, zich blijkbaar in een toestand van wettelijke onverenigbaarheid bevindt, zoals bedoeld in artikel 38 van de wet tot oprichting van de GBA, aangezien hij een aantal openbare functies uitoefent;
- overwegende dat mevrouw Séverine Waterbley en de heer Nicolas Waeyaert zich in hun hoedanigheid van directeurs-generaal van de FOD Economie in dezelfde toestand bevinden;
- overwegende dat de heer Jelle Stassijns, lid van de geschillenkamer, overigens tot het politiek personeel van de N-VA in het federale parlement behoort, wat in strijd is met de in artikel 52 van de AVG vereiste en rechtstreeks in het Belgisch recht toepasbare onafhankelijkheid;
- overwegende dat de heer David Stevens, voorzitter van de GBA, aan de Taskforce "Data Against Corona" deelgenomen heeft, wat een onverenigbare activiteit is zoals bedoeld in artikel 44 van de wet;
- overwegende dat artikel 45 van de wet, waarin er voorzien wordt in een procedure van ontheffing van het mandaat van elk lid dat de benoemingsvoorwaarden niet of niet meer naleeft, toegepast dient te worden;
verzoekt de regering
haar steun te verlenen aan het opstarten door de Kamer, overeenkomstig artikel 45 van de wet tot oprichting van de Gegevensbeschermingsautoriteit, van een procedure van ontheffing van het mandaat jegens alle leden van de GBA die zich in een situatie van wettelijke onverenigbaarheid bevinden."
Une motion pure et simple a été déposée par M. Benoît Piedboeuf.
Een eenvoudige motie werd ingediend door de heer Benoît Piedboeuf.
Le vote sur les motions aura lieu
ultérieurement. La
discussion est close.
Over de moties zal later worden gestemd. De bespreking is gesloten.
- Florence Reuter à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "Le respect des normes RGPD par WhatsApp" (55012555C)
- Kris Verduyckt à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "La protection de la vie privée sur WhatsApp" (55012860C)
- Kris Verduyckt à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "La technologie de reconnaissance faciale sur Facebook" (55012970C)
- Florence Reuter aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "De inachtneming van de AVG-normen door WhatsApp" (55012555C)
- Kris Verduyckt aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "Privacy bij WhatsApp" (55012860C)
- Kris Verduyckt aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "De gezichtsherkenningstechnologie op Facebook" (55012970C)
02.01 Florence Reuter (MR): Madame la présidente, monsieur le secrétaire d'Etat, je vous adresse une question qui concerne des millions, voire des milliards d'utilisateurs dans le monde.
En effet, début janvier, l'application de messagerie Whatsapp a annoncé de nouvelles conditions d'utilisation à ses quelque deux milliards d'utilisateurs. Le groupe californien, qui tire la majeure partie de ses profits de la publicité ciblée sur Facebook et Instagram, a entrepris de dégager des revenus de sa messagerie, comme Messenger, en permettant aux annonceurs de contacter leurs clients, voire d'y vendre directement leurs produits, comme c'est déjà le cas en Inde. Ceci entraînera un plus grand partage de données avec la maison-mère, Facebook.
Ces nouvelles règles, qui seront actives dès le 8 février, ont déclenché un mouvement de panique parmi les utilisateurs de l'application, qui a d'ailleurs construit sa réputation sur la protection des données, suscitant ainsi des records d'inscription chez ses concurrents, Signal et Telegram principalement.
Dans un communiqué, Whatsapp affirme que la mise à jour n'affectera en aucun cas la confidentialité des messages échangés "avec vos amis et votre famille" et concerne uniquement les conversations d'entreprise. Le doute est là néanmoins!
Monsieur le secrétaire d'État, la protection des données des consommateurs est essentielle. À ce titre, l'Union européenne a mis en place le RGPD qui, a priori, devrait adoucir les nouvelles règles de cette mise à jour. Pouvez-vous nous confirmer que les utilisateurs européens pourront obtenir des conditions distinctes de celles annoncées?
Le siège principal de Facebook pour l'Union européenne étant installé en Irlande, quels sont les pouvoirs de l'Autorité de protection des données dans cette affaire?
02.02 Kris Verduyckt (sp.a): Mijnheer de staatssecretaris, mijn eerste vraag gaat over de aanpassing aan WhatsApp, een app die twee miljard gebruikers telt. Zij worden verplicht om een update te installeren. Het gaat natuurlijk vooral over onze metadata. Men wil die koppelen aan Facebook en men wil meer over ons weten. Het is de eeuwige internetwet: als men niet betaalt voor een product, dan is men wellicht zelf het product. Daarover gaat het. Ik heb minder vrees voor de inhoud van onze gesprekken, aangezien WhatsApp een end-to-endencryptie gebruikt. Daarvoor heb ik dus minder schrik, maar het feit dat we weer meer van ons moeten prijsgeven, baart mij en heel veel gebruikers zorgen.
WhatsApp heeft ondertussen wel een beetje gas teruggenomen, maar ik vond deze vraag toch belangrijk genoeg. Ik wil namelijk wel eens weten in hoeverre er een conflict is met Europese wetgeving. Wat zijn onze opties?
Mijnheer de staatssecretaris, hoe kijkt u naar de andere berichtendiensten die nu opmars maken, zoals Signal en Telegram, waarover we goede, maar ook minder goede verhalen horen?
Mijn tweede vraag gaat over iets heel anders. In Amerika was er vorige week een opvallende uitspraak van een rechtbank in de staat Illinois, waar er een strenge wetgeving is voor het gebruik van biometrische gegevens. Dat is interessant, omdat wij in België ook een verbod hebben op het gebruik van biometrische gegevens.
In Illinois ging het erover dat Facebook gebruikmaakt van automatische gezichtsherkenning. Ieder van ons die Facebook gebruikt, weet dat zijn gezicht getagd kan worden door iemand anders die een foto op zijn pagina plaatst. In het begin gebeurde dat automatisch, maar nu moet men daar wel toestemming voor geven. Het procedé wordt echter nog altijd toegepast.
Is het toegelaten dat een onlineplatform technologie gebruikt die in ons land eigenlijk verboden is? Indien dat niet toegelaten zou zijn, aan wie is het dan om in te grijpen?
02.03 Staatssecretaris Mathieu Michel: Mijnheer Verduyckt, allereerst wil ik u duidelijk maken dat ik nog niet de wettelijke bevoegdheid heb om de gebruiksvoorwaarden van WhatsApp, Facebook, Signal en Telegram en de naleving van de regels inzake gegevensbescherming te onderzoeken. Die bevoegdheid om toe te zien op de naleving van de GDPR is wettelijk de verantwoordelijkheid van de Gegevensbeschermingsautoriteit (GBA).
Ik herinner u eraan dat de GBA een onafhankelijke instelling is waarvan de onafhankelijkheid wordt gegarandeerd door het Parlement, dat het enige orgaan van de Staat is dat toezicht houdt.
J'en viens à l'importance croissante de la question de la protection des données. C'est en effet un enjeu crucial de liberté que de disposer de sa vie numérique, de divulguer ou non ses données personnelles, mais c'est aussi et surtout une question de transparence et de confiance.
Aujourd'hui, le Digital Services Act est l'outil qui doit nous ramener à ces valeurs européennes fondamentales qui doivent être nécessairement appréhendées dans le développement des plateformes virtuelles. Il s'agit d'une véritable opportunité pour les États membres de poser les balises en termes, entre autres, de protection des données.
Pour ma part, j'identifie plusieurs enjeux autour du Digital Service Act.
Primo, les questions fondamentales liées aux libertés d'expression, des individus, à la qualité, à la nocivité et à la transparence des contenus, devront y être débattues. La frontière est parfois ténue et nous ne souhaitons pas tomber dans un monde où le bien et le mal seraient définis pas une sorte de ministère de la vérité. La Belgique doit se positionner sur cet enjeu important, en repartant des valeurs fondamentales et fondatrices de l'Europe et en les intégrant dans sa stratégie de transformation digitale. Ces valeurs ont d'ailleurs été traduites récemment dans les déclarations de Berlin sur la société digitale, signées par la Belgique et les autres États membres.
Secundo, sur la forme, il s'agit de définir ou de redéfinir les outils juridiques et techniques applicables au sein des États membres, qui permettront concrètement de générer davantage de transparence, de confiance et de responsabilité. Les réseaux sociaux sont-ils devenus des médias, des éditeurs de contenus ou des diffuseurs? Développent-ils une ligne éditoriale? Comment privilégier la transparence et l'équité et non une décision arbitraire? Cela fait partie des questions auxquelles nous devrons répondre.
Il en va de même avec les algorithmes; le nombre d'interactions existantes sur les réseaux sociaux induit inévitablement le recours à l'intelligence artificielle afin d'identifier la nature des contenus qui circulent sur ces plateformes. Mais ces algorithmes sont bien construits par des individus. C'est un arbre de décision qui, à partir d'une question, et d'une succession de oui et de non, génère une réponse à des questions qui sont, elles, bien humaines; des questions de valeurs, de transparence ou d'équité. En Belgique, un groupe d'experts devra entamer et nourrir cette réflexion, ainsi que l'ouvrir à la société, interroger la population, solliciter le monde associatif, philosophique et culturel. De nouvelles balises claires et définies seront ainsi posées, afin de générer la transparence et la confiance, en réponse à ce que l'on a connu récemment.
Pour revenir à l'objet précis de vos questions, je me limiterai aux éléments portés à ma connaissance. Pour le surplus, je vous invite à interpeller l'Autorité de protection des données qui, dois-je encore le rappeler, dépend du Parlement et est indépendante.
Vooreerst wil ik erop wijzen dat Whatsapp en Facebook, waarvan de Europese zetel in Ierland gevestigd is, onderworpen zijn aan de Europese regels inzake gegevensbescherming, zoals geregeld in de algemene verordening gegevensbescherming (GDPR). Whatsapp en Facebook moeten zich er dan ook van vergewissen dat de gebruiksvoorwaarden voor de Europese gebruikers voldoen aan de vereisten bedoeld in de GDPR.
L'Autorité irlandaise de protection des données, qui est l'autorité chef de file pour Whatsapp, mène actuellement plusieurs enquêtes sur le partage des données de cette application avec Facebook et sur sa conformité avec le RGPD (Règlement général sur la protection des données).
La première enquête vise à examiner dans quelle mesure les utilisateurs de Whatsapp ont été correctement informés de ce partage des données. Cette enquête est clôturée et les conclusions de l'Autorité irlandaise de protection des données ont été transmises pour approbation au Comité européen de la protection des données qui regroupe les autorités de contrôle de protection des données de tous les États membres de l'Union européenne, dont l'Autorité de protection des données belge.
La seconde enquête est toujours en cours et porte sur le caractère libre du consentement des utilisateurs au partage des données. Les enquêtes en cours étant confidentielles, je ne dispose pas d'informations complémentaires concernant ces dossiers pour lesquels les conclusions du Comité européen de protection des données sont attendues.
Comme ses homologues européens, l'Autorité belge de protection des données a la possibilité de transmettre son point de vue sur le projet de décision de l'Autorité irlandaise.
Sur la question précise de l'utilisation des technologiques de reconnaissance faciale, je peux vous communiquer les éléments suivants.
Het gebruik van gezichtsherkenning is inderdaad een bijzonder gevoelige kwestie en is onderworpen aan strikte voorwaarden die zijn vastgelegd in de GDPR. Elk onlineplatform waaronder Facebook, voor zover dit platform diensten aanbiedt aan Europese burgers, is op straffe van boetes onderworpen aan de Europese regels inzake gegevensbescherming zoals geregeld in de GDPR. Overeenkomstig de GDPR is de verwerking van biometrische gegevens zoals die welke worden gebruikt in het kader van gezichtsherkenning verboden, behoudens uitzonderingen zoals de vrije toestemming van de betrokkene of een specifiek wettelijk kader.
Het mechanisme van voorgestelde tagging zonder toestemming van de gebruiker, is, zoals u terecht opmerkt, veroordeeld in de Verenigde Staten. Naar aanleiding van deze veroordelingen heeft Facebook met ingang van 3 september 2019 een wijziging doorgevoerd waarbij de automatische taggingfunctie standaard is uitgeschakeld, tenzij de gebruiker op een apart scherm aangeeft dat hij deze optie wil activeren.
Ik beschik niet over de wettelijke bevoegdheden om een onderzoek te voeren naar de automatische taggingfunctie en in het bijzonder of zij voldoet aan de vereisten van vrije en uitdrukkelijke toestemming van de gebruiker en de inachtneming van de regels inzake gegevensbescherming. De bevoegdheid om toe te zien op de naleving van de GDPR behoort juridisch tot de toezichthoudende autoriteiten.
Enfin, quant à la question des pouvoirs spécifiques de l'Autorité de protection des données à l'égard de Whatsapp ou de Facebook, elle est actuellement portée devant la Cour de justice de l'Union européenne. En effet, l'Autorité belge de protection des données a demandé la cessation par Facebook des traitements de données personnelles contraires aux règles de protection des données et ce, à l'égard de tout internaute établi sur le territoire belge.
Dans le cadre de cette affaire, la cour d'appel de Bruxelles a demandé à la Cour de justice de l'Union européenne si le RGPD s'oppose effectivement à ce qu'une autorité nationale de protection des données, autre que l'Autorité chef de file, intente une action en justice dans son État membre contre les infractions à ce même RGPD en ce qui concerne un traitement transfrontalier de données.
À ce stade, suivant les conclusions de l'avocat général, l'Autorité de protection des données chef de file, à savoir l'Autorité irlandaise, dispose d'une compétence générale pour agir en justice contre des infractions au RGPD pour ce qui concerne le traitement transfrontalier de données. Les autres autorités de protection des données concernées sont néanmoins habilitées à agir en justice dans leur État membre dans le cas où le RGPD leur permet spécifiquement de le faire.
Nous sommes dans l'attente d'un arrêt de la Cour de justice de l'Union européenne sur cette affaire qui clarifiera, j'en suis sûr, le rôle de notre Autorité belge de protection des données à l'égard des internautes établis sur le territoire belge. Tant cette décision que celle de l'Autorité irlandaise sur le dossier Whatsapp ou Facebook sont d'une importance cruciale. En effet, ces décisions vont servir de précédent et de signal pour l'ensemble des réseaux sociaux.
02.04 Florence Reuter (MR): Monsieur le secrétaire d'État, je vous remercie même si la réponse était très longue, voire philosophique.
J'entends bien que c'est l'Autorité de protection des données qui est seule compétente et indépendante. Toujours est-il que vous êtes le secrétaire d'État en charge de la Protection de la vie privée. Il me semble, dès lors, normal qu'un parlementaire s'adresse à vous pour obtenir un maximum de réponses.
La fin de votre réponse est effectivement intéressante. On attend ces décisions qui devraient, je l'espère, clarifier la situation dans ce domaine et rassurer les utilisateurs car, au final, c'est quand même vers eux qu'on se tourne. Il est important de leur apporter des réponses.
02.05 Kris Verduyckt (sp.a): De Gegevensbeschermingsautoriteit speelt in dezen inderdaad een centrale rol. Het gaat voor mij echter om meer dan alleen om privacy. Een bijzonder groot bedrijf, Facebook, legt een connectie met een ander, bijzonder populair product van hen, namelijk WhatsApp. Ze hebben vandaag geen monopolie, maar toch bijna. Zij verplichten gebruikers bijna om die stap te maken en op die manier hun metadata ter beschikking te stellen van dat bedrijf. Dat is toch een vorm van machtgebruik die mij zorgen baart.
U verwijst als staatssecretaris terecht naar de Europese wetgeving, de Digital Services Act, die eraan komt. Wij moeten deze omzetten. Het is dan ook onze taak als overheid om daar op toe te zien en ervoor te zorgen dat we onze burgers beschermen tegen bepaalde acties van Facebook. Dit en de uitspraken van die zaken die daarrond lopen, zijn interessant.
Voor de gezichtsherkenning verwijst u ook voor een deel naar de GBA. Ik zal hen dan ook interpelleren. Zij komen binnenkort naar het parlement in het adviescomité voor Wetenschappelijke en Technologische Vraagstukken. Ik zal die vraag dan nog eens stellen aan hen.
Facebook loopt daar op een heel dunne koord. U geeft terecht aan dat er vandaag toestemming moet worden gegeven om automatisch getagd te worden, maar er wordt wel gebruikgemaakt van de technologie die in wezen verboden is. Ze zijn misschien wel in regel met de GDPR, maar ze begeven zich toch op een bijzonder slappe koord. Het is dan ook niet meer dan normaal dat we onze bezorgdheid daarover uitdrukken en bekijken of dat echt iets is dat we in ons land willen.
Bedankt voor uw antwoorden. Ik ga daar verder mee aan de slag.
Het incident is gesloten.
- François De Smet à Vincent Van Quickenborne (VPM Justice et Mer du Nord) sur "La régionalisation de la protection des données" (55012811C)
- Nabil Boukili à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "Les comités de sécurité de l’information" (55012884C)
- Cécile Thibaut à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "Le respect du RGPD et le rôle de la Vlaamse Toezichtcommissie" (55012907C)
- François De Smet aan Vincent Van Quickenborne (VEM Justitie en Noordzee) over "Het regionaliseren van de gegevensbescherming" (55012811C)
- Nabil Boukili aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "De informatieveiligheidscomités" (55012884C)
- Cécile Thibaut aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "De inachtneming van de AVG en de rol van de Vlaamse Toezichtcommissie" (55012907C)
03.01 François De Smet (DéFI): Monsieur le secrétaire d'État, le 28 décembre dernier, la presse s’est fait le relais de la publication du décret flamand du 18 décembre 2020. Ce décret autorise les autorités publiques locales flamandes à accéder à une banque de données fédérale pour contrôler l’isolement temporaire et le respect de la quarantaine. L’article 1er dudit décret dit régler une matière communautaire.
Or, c’est là que le bât blesse, car la protection de la vie privée, réglée par ce décret flamand, relève de l’autorité fédérale. Cette compétence a déjà été précisée par la section de législation du Conseil d'État, qui considère par ailleurs que tout projet de norme régionale ou communautaire doit nécessairement être soumis à l’Autorité de protection des données (APD).
En l’espèce, l’APD est dépouillée d’une partie substantielle de ses compétences par la VTC (Vlaamse Toezichtcommissie). Ainsi, les projets de décrets et d’arrêtés flamands lui seraient soumis au lieu d’être soumis à l’APD. Une APD flamande en quelque sorte, mais anticonstitutionnelle.
Depuis l’été 2019, tous les décrets et arrêtés flamands échapperaient au contrôle de l’APD, comme le mentionne la presse, dans une véritable régionalisation de facto de la matière. Or, seule l’APD est compétente pour contrôler le respect, dans notre pays, du RGPD et des principes en matière de protection des données. Au regard de la Constitution, seule l’APD a ce statut d’autorité de contrôle qui lui est dévolu par la loi du 3 décembre 2017.
Je n'ignore pas que l'Autorité de protection des données dépend de la Chambre, mais je ne peux pas imaginer un instant que, comme secrétaire d'État appartenant au gouvernement fédéral, vous n'ayez pas un avis sur cette régionalisation forcée par la bande.
Cette régionalisation larvée de cette matière sensible, de surcroît en pleine crise sanitaire, me conduit à vous interroger sur cette initiative inquiétante, qui détricote insidieusement, et au mépris de la Constitution, un pan essentiel de notre État de droit.
Voici mes questions; elles sont très simples. Avez-vous été mis au courant de ce décret flamand? Dans l’affirmative, une étude juridique a-t-elle été commandée par les services, par exemple par les vôtres, en vue de vérifier la validité juridique de ce décret au regard de la répartition des compétences entre l’État fédéral et les entités fédérées? Quel est votre avis, en tant que secrétaire d'État, sur ce coup de force juridique d’une entité fédérée envers la norme fédérale et constitutionnelle? Le gouvernement fédéral entend-il contester ce décret devant la Cour constitutionnelle? Je vous remercie.
03.02 Nabil Boukili (PVDA-PTB): Madame la présidente, monsieur le secrétaire d'État, ainsi que je l’ai rappelé lors de mon interpellation au sujet de l’affaire Frank Robben, en Belgique, l’autorité régulatrice légale en matière de respect de la vie privée est l’Autorité de protection des données (APD). Le respect de la vie privée étant une compétence fédérale, l’APD est la seule autorité légale en la matière, conformément à la loi et au RGPD.
Pourtant, dans la pratique, l’État belge reste toujours dans l’illégalité en la matière. Chez nous, les compétences de l’APD sont détricotées au profit d’autres comités: le Comité de sécurité de l’information et, en Flandre, la Vlaamse Toezichtcommissie.
Dans son édition du vendredi 15 janvier, le journal l'Echo s’inquiète: "La Flandre a-t-elle régionalisé en douce la protection des données?" La Flandre a en effet établi un décret qui organise le contrôle des quarantaines via un accès aux données covid pour les bourgmestres des communes flamandes.
Légalement, ce décret aurait dû passer par l’APD, seule autorité à pouvoir donner son avis sur un traitement de données. Au contraire, la Région flamande a demandé avis à la Vlaamse Toezichtcommissie, ce qui semble d’ailleurs être une habitude. Selon le journal, l’APD n’aurait plus été consultée par la Flandre sur des projets de décrets ou d’arrêtés.
Ceci pose un véritable problème constitutionnel. La législation et l’autorité régionales ne peuvent se substituer à une compétence qui reste fédérale. Un recours a d’ailleurs été déposé par Mme Jaspar, directrice du Centre de Connaissances de l’APD.
Monsieur le secrétaire d'État, pourriez-vous confirmer que les comités de contrôle que sont le Comité de sécurité de l’information et la Vlaamse Toezichtcommissie exercent des compétences en violation du RGPD et de la Constitution? Comptez-vous supprimer ces comités dans le cadre de votre évaluation de la loi encadrant la protection des données personnelles dans notre pays?
Le Conseil des ministres peut saisir la Cour constitutionnelle en annulation du décret flamand. Envisagez-vous cette piste? J'espère que cette fois, vous serez compétent pour me répondre.
03.03 Cécile Thibaut (Ecolo-Groen): Monsieur
le Ministre, l’Autorité de protection des données est l’autorité reconnue par
le législateur belge pour contrôler le respect du RGPD et des principes
généraux en matière de protection des données. Cette autorité doit
obligatoirement être consultée pour rendre un avis prélable sur une loi, un
décret ou une ordonnace qui instaure un traitement des données.
Il semble pourtant qu’en Flandre, la Vlaamse
toezichtcommissie rend des avis sur des textes importants tels que le contrôle
de la quarantaine avec de possibles sanctions pénales par les polices locales.
Le décret flamand du 18 décembre permet ainsi aux policiers d’avoir accès à la
base de données fédérale des données du traçage des contacts COVID pour
contrôler le respect des quarantaines.
La structure a été créée en 2016 et se
présente comme un organe d’accompagnement des entités flamandes pour les
assister dans la protection des données. En 2008, un décret la modifie en l’instituant
comme l’autorité de protection des données compétentes pour rendre des avis en
région flamande. Tout traitement lié à des données flamandes doit passer par un
avis de la VTC, selon ce décret. Or, depuis juillet 2019, plus aucun décret ni
arrêté flamand n’est arrivé sur le bureau du centre de connaissance de l’APD.
Le conseil d’état, de son côté, ne cesse de répéter et de confirmer la
nécessité d’une consultation préalable de l’APD qui en a la compétence
exclusive.
Monsieur le Ministre, voici mes questions,
- Etes-vous inquiet
par cette forme de régionalisation de l’autorité de protection des données?
- Le Gouvernement
fédéral compte-il contester ce décret devant le conseil d’État?
- Avez-vous pris un
contact avec le comité européen de la protection des données? Une notification
existe-t-elle?
Je vous remercie pour vos réponses.
03.04 Mathieu Michel, secrétaire d'État: Madame la présidente, madame et messieurs les députés, je suis désolé, mais je vous répète que je ne suis pas compétent pour tout ce qui concerne l'Autorité de protection des données. Vous devriez le savoir mieux que moi, chers parlementaires.
J'aimerais également attirer votre attention sur le fait que la matière liée à la protection des données n'est pas une compétence exclusivement fédérale. En effet, il ressort clairement de la jurisprudence de la Cour constitutionnelle et du Conseil d'État que le pouvoir fédéral est compétent pour le cadre général – à savoir la détermination des normes minimales – mais que les entités fédérées sont, elles aussi, compétentes.
Ainsi, dans le cadre de leurs compétences, les entités fédérées peuvent créer leur propre organe de contrôle, ainsi que l'ont fait la Flandre avec la Vlaamse Toezichtcommissie (VTC) et Bruxelles. Selon les informations dont je dispose, l'organe de contrôle bruxellois est inactif mais il existe bel et bien. De même, la Fédération Wallonie-Bruxelles est en passe de trouver un accord sur la création d'un organisme de contrôle similaire. Toutefois, cette autonomie présente plusieurs limites évidentes, qu'il conviendra également d'analyser dans le cadre de l'évaluation que j'ai évoquée et qui me semble indispensable.
Les entités fédérées doivent respecter le cadre général – autrement dit la loi sur la protection de la vie privée – ainsi que les normes européennes telles que le règlement général sur la protection des données (RGPD). Ces normes peuvent contenir des mesures plus strictes et imposer davantage de garanties, mais toujours dans le respect de la hiérarchie des normes.
En outre, dans le respect des compétences de l'APD, les autorités de contrôle des entités fédérées ne peuvent se prononcer sur des matières qui relèvent du cadre général tel qu'évoqué au sein de l'APD. En cette matière, un dialogue structurel est déjà ouvert entre la VTC et l'APD, notamment au travers de la participation du président de l'APD aux délibérations de la VTC en qualité d'observateur, comme le prévoit le décret flamand instituant la VTC.
À mon sens, ce dialogue doit être mieux encadré par le biais d'un accord de coopération entre l'APD et la VTC, mais aussi avec tous les organismes autonomes de contrôle des données. Dans le cadre de cet accord, le Parlement, en sa qualité d'organe de tutelle de l'Autorité de protection des données, devrait être invité à initier une telle démarche et à interroger directement l'APD sur cette question cruciale de la coordination avec les autres autorités de protection des données fédérales et régionales.
03.05 François De Smet (DéFI): Monsieur le secrétaire d'État, votre réponse me plonge dans un océan de perplexité, moi ainsi que mes collègues. Je vais sans doute mettre un temps avant d'en sortir. On ne peut pas dire qu'il n'y a rien dans votre réponse: il y a un rappel des normes fédérales et je vous en remercie.
Toutefois, nous aurions pu espérer une défense un peu plus forte contre les coups de canif dans les compétences fédérales qui a été fait ici par cette pratique de la Région et de la Communauté flamande à faire comme si l'Autorité de protection des données, dont nous avons en effet le devoir d'assumer une forme de protection, n'existait pas.
Je vous pose la question aujourd'hui car je l'avais d'abord posée au ministre de la Justice. La commission a décidé qu'elle s'adresserait à vous. Il faudrait aussi que je pose la question au ministre des Réformes institutionnelles pour savoir si oui ou non le gouvernement fédéral ne considère pas qu'il y a un problème dans les prérogatives de l'État fédéral. Cela ne concerne pas que le Parlement, mais bel et bien le gouvernement.
On n'en est plus, même si cela est tout à fait appréciable, à essayer de voir si les choses peuvent être résolues par une forme de dialogue structurel. Malheureusement, en l'occurrence, le gouvernement flamand n'est pas du tout dans une logique de dialogue. Il serait intéressant qu'elle le soit, mais c'est quand même le monde à l'envers que ce soit le Parlement fédéral qui doive protéger l'Autorité de protection des données parce que ni le gouvernement flamand ni le gouvernement fédéral n'a l'intention de le faire. Je crois qu'avec une série d'autres partis, nous nous emploierons à ce que l'intégrité de cette Autorité de protection des données et ici, l'intégrité de la Constitution, soient davantage respectées.
03.06 Nabil Boukili (PVDA-PTB): Monsieur le secrétaire d'État, j'avais peur que vous nous disiez ne pas être compétent parce que nous avons parlé de l'APD qui relève du pouvoir de la Chambre. Mais, ici, il en est question, parce que nous parlons de la protection de la vie privée, ce qui est de votre compétence.
Vous positionnez-vous dans le sens de la protection de la vie privée de nos concitoyens? Vous ne pouvez pas dire que vous n'êtes pas compétent à ce niveau-là. La situation à laquelle nous faisons face est une violation de la Constitution. Cela a été dit par le Conseil d'État. Vous pouvez dire qu'il y a des prérogatives, mais le Conseil d'État a dit que c'était illégal. Quand vous parlez de collaboration, c'est parce que le président de l'APD participe aux réunions de la VTC, ce qui est aussi une certaine forme de conflit d'intérêts.
Je me demande s'il sert encore à quelque chose de vous poser des questions dans ce sens-là si à chaque fois vous répondez que vous n'êtes pas compétent en la matière. Si vous l'êtes pour protéger la vie privée de nos concitoyens, vous l'êtes pour vous positionner lorsque le contre-pouvoir qui garantit cette protection est mis à mal.
Je reste perplexe et abasourdi par vos réponses, me demandant à quel moment vous serez compétent pour réagir et protéger la vie privée de nos concitoyens. Je me le demande, car je vous ai cité deux dossiers de votre compétence, sinon la question n'aurait pas été transférée à votre cabinet. La moindre des choses est de fournir des réponses claires.
03.07 Cécile Thibaut (Ecolo-Groen): Monsieur le secrétaire d'État, je vous remercie de votre réponse très circonstanciée au regard de la loi. De même, vous avez développé un avis nuancé et critique quant au rôle du président de l'APD dans cette Vlaamse Toezichtcommissie à laquelle il participe de manière informelle, en qualité d'observateur, ainsi que le prévoit la loi.
Vous avez prôné un accord de coopération. Naïvement, je pensais que l'initiative vous en revenait. Or, c'est donc une prérogative de la présidente de la Chambre, qui devra contacter tous les présidents d'assemblée à cet effet. L'urgence est là, car l'inconstitutionnalité que nous constatons doit être résolue par un tel accord de coopération. Je travaillerai en ce sens.
03.08 Mathieu Michel, secrétaire d'État: Madame la présidente, j'aimerais apporter une précision, en raison d'une certaine méconnaissance du rôle du gouvernement vis-à-vis de la vie privée. Deux outils doivent être distingués à cet égard.
Le premier est le cadre légal. C'est en effet bien mon rôle d'identifier comment, en son sein, nous pouvons installer de la sérénité dans la protection des données. Je l'ai dit dans ma note de politique générale et l'ai réaffirmé ici: l'objectif essentiel est de rapidement évaluer les lois relatives à la protection de la vie privée. En revanche, je n'exerce aucune autorité sur l'APD, qui est en effet un organe indépendant sous tutelle du Parlement. C'est pourquoi, lorsque vous me poserez des questions sur l'APD ou son fonctionnement, je ne pourrai que vous les renvoyer.
Néanmoins, pour bien identifier mon rôle, je précise qu'il consiste à voir comment je peux faire évoluer le cadre légal, en étant évidemment soutenu par le Parlement, au terme d'une évaluation que j'ai évoquée à la première minute même de notre rencontre consacrée à ma note de politique générale. Bien entendu, cette évaluation sera primordiale dès lors que le cadre juridique fait l'objet de nombreuses questions. Dans les tout prochains jours et semaines, cette évaluation va débuter, comme je l'ai annoncé. C'est dans ce contexte qu'en qualité de secrétaire d'État, j'agirai conformément à mes fonctions et responsabilités.
La présidente: Comme le dernier mot revient au Parlement, monsieur Boukili, voulez-vous encore répliquer?
03.09 Nabil Boukili (PVDA-PTB): Monsieur le secrétaire d'État, je suis content que vous l'ayez précisé. Je ne vous interroge pas ici sur l'APD mais sur le cadre légal qui est de votre compétence. Je vous demande de vous positionner sur l'illégalité de personnes qui siègent à l'APD. Vous venez de le confirmer. C'est votre compétence quand il y a une situation qui est manifestement illégale. Vous venez de le dire mais vous ne répondez pourtant pas. Vous ne prenez pas position. Dans ce cadre, je ne comprends pas. Ce n'est pas parce que je dis "APD" dans mon intervention qu'il ne faut pas répondre à l'aspect légal qui était l'objet de ma question.
Vous avez parlé d'évaluation. Monsieur le secrétaire d'État, ce serait bien d'avoir un timing précis pour qu'on puisse suivre cette affaire-là. Je reposerai sûrement la question. Je suis bien conscient de la compétence du Parlement et de celle du gouvernement. Moi, je vous ai posé la question sur votre compétence qui est le contrôle du cadre légal.
03.10 Mathieu Michel, secrétaire d'État: Monsieur le député, ma compétence n'est pas le contrôle du cadre légal. C'est bien là qu'est la confusion que vous faites.
L'incident est clos.
04 Vraag van Maria Vindevoghel aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "Het Vias-proefproject" (55012927C)
04 Question de Maria Vindevoghel à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "Le projet pilote de Vias" (55012927C)
04.01 Maria Vindevoghel (PVDA-PTB): Mevrouw de voorzitster, mijnheer de staatssecretaris, we hebben in de commissie voor Mobiliteit een discussie gehad over een proefproject van het Vias, waarbij men automobilisten op de openbare weg fotografeert. Men doet dit om een nieuwe technologie te testen om het gsm-gebruik achter het stuur te kunnen controleren. De minister van Mobiliteit, de heer Gilkinet, verklaarde op 20 januari dat het Vias geen toestemming aan de Gegevensbeschermingsautoriteit had gevraagd, waardoor men mogelijks de wet op de privacy heeft overtreden.
Op 20 januari had het Vias reeds 20.000 automobilisten gescreend. Niemand van die burgers heeft hiervoor de toestemming gegeven. Dit lijkt ons een inbreuk op de privacy te zijn. Op die manier kan elke private firma zomaar burgers beginnen te filmen of fotograferen op een brug boven de snelweg, zoals hier gebeurde.
Mijnheer de staatssecretaris, is het toegelaten om voor een proefproject burgers te filmen of te fotograferen op de openbare weg zonder hun toestemming? Zal u het Vias de opdracht geven om dit proefproject meteen stop te zetten? Zal u de Gegevensbeschermingsautoriteit de opdracht geven om deze zaak grondig te onderzoeken?
04.02 Staatssecretaris Mathieu Michel: Mevrouw de voorzitster, mevrouw Vindevoghel, de controle op de naleving van de regels inzake gegevensbescherming behoort tot de bevoegdheid van de Gegevensbeschermingsautoriteit, die onafhankelijk is. Bijgevolg is het niet aan mij om de voortzetting van dit project te verbieden of een onderzoek te laten openen. Ik wijs er wel op dat de GBA een onderzoek ter zake zou hebben geopend.
Ik beschik dus niet over concrete informatie over dit proefproject. Ik ben ook niet bevoegd om te bepalen of dit proefproject wordt uitgevoerd in overeenstemming met de regels inzake gegevensbescherming.
Ik zou echter willen benadrukken dat de vraag naar de wettigheid van het filmen of fotograferen van burgers op de openbare weg zonder hun toestemming geen simpel antwoord kent. In principe voorziet de Europese verordening inzake gegevensbescherming, de AVG, in andere grondslagen voor de rechtmachtigheid van de verwerking van persoonsgegevens dan die van de toestemming van de betrokkene, zoals het algemeen belang en het gerechtvaardigde belang van de verwerkingsverantwoordelijke.
Voor zover dit proefproject met het oog op wetenschappelijke onderzoek zou worden uitgevoerd, zouden bovendien bepaalde specifieke bepalingen en afwijkingen, zoals bedoeld in de artikelen 186 tot 208 van de wet van 30 juli 2018, van toepassing zijn.
Bijgevolg zou dit proefproject, waarbij burgers op de openbare weg worden gefilmd en gefotografeerd, kunnen worden beschouwd als in overeenstemming met de regels inzake gegevensbescherming indien het voldoet aan de vereisten die voorzien zijn door de GDPR.
04.03 Maria Vindevoghel (PVDA-PTB): Mijnheer de staatssecretaris, in deze kwestie is er geen aanvraag gedaan bij de Gegevensbeschermingsautoriteit, toch? Normaal gezien is het toch de bedoeling dat men, als men met een dergelijk project start, eerst aan de Gegevensbeschermingsautoriteit vraagt of alle regels inzake privacy worden gerespecteerd? Dat is hier niet gebeurd. Nu gaat de Gegevensbeschermingsautoriteit nakijken of ze al of niet de privacy respecteren. Dat is toch de omgekeerde wereld? Ondertussen is één en ander al wel aan de gang en loopt het project af op 8 februari 2021.
Ik vind het raar dat het Vias zonder navraag bij de Gegevensbeschermingsautoriteit zomaar 20.000 automobilisten heeft gefotografeerd. Het gaat over een project dat dient voor de veiligheid en de bescherming van automobilisten. Daar zijn we natuurlijk ook voor, maar niet op deze manier, zonder de Gegevensbeschermingsautoriteit om advies te vragen en te bekijken of alle regels qua privacy gerespecteerd zijn.
Het incident is gesloten.
- Christoph D'Haese à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "L'arrêté ministériel sur les mesures anti-covid et le traitement des données à caractère personnel" (55013028C)
- Christoph D'Haese à Mathieu Michel (Digitalisation, Simplification administrative, Protection de la vie privée et Régie des Bâtiments) sur "L'arrêté ministériel sur les mesures anti-covid et le traitement des données à caractère personnel" (55013043C)
- Christoph D'Haese aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "Het MB betreffende de coronamaatregelen en de verwerking van persoonsgegevens" (55013028C)
- Christoph D'Haese aan Mathieu Michel (Digitalisering, Administratieve Vereenvoudiging, Privacy en Regie der gebouwen) over "Het MB betreffende de coronamaatregelen en de verwerking van persoonsgegevens" (55013043C)
05.01 Christoph D'Haese (N-VA): Mijnheer de staatssecretaris, het ministerieel besluit van uw collega, de minister van Binnenlandse Zaken, van 12 januari 2021, dat stilzwijgend alle coronamaatregelen tot 1 maart verlengde, blijkt een bepaling te bevatten die de RSZ verregaande mogelijkheden verleent om, ten behoeve van alle diensten en instellingen belast met de strijd tegen het virus en het toezicht op de maatregelen, gezondheids- en andere persoonsgegevens van alle werknemers en zelfstandigen te verzamelen, samen te voegen en te verwerken, met inbegrip van datamining en datamatching, met het oog op het ondersteunen van het opsporen en onderzoeken van clusters en collectiviteiten. De RSZ mocht tevoren ook al data verzamelen, doch slechts ten behoeve van de contactcentra, gezondheidsinspecties en mobiele teams.
De bedoeling zou zijn dat de RSZ van Sciensano te weten kan komen wie besmet is en wie uit een buitenlandse rode zone terugkeert, zodat de gezondheidsinspecteurs kunnen vermijden dat men via het werk het virus verder verspreidt.
De bepaling is volgens privacy-experten echter bijzonder vaag. Wat betekenen datamatching en datamining precies? Over welke gegevens gaat het precies? De bepaling had overigens via wet en niet via een ministerieel besluit ingevoerd moeten worden. Bovendien werd het verplichte advies van de GBA niet gevraagd. De experten zijn vooral bezorgd over de verruiming naar "alle diensten en instellingen".
Mijnheer de staatssecretaris, om welke reden werd er geen advies van het kenniscentrum van de GBA gevraagd omtrent de wijziging die via het ministerieel besluit van 12 januari aan het ministerieel besluit van 28 oktober 2020 werd aangebracht?
Bestaat volgens uw informatie de mogelijkheid dat er boetes uitgeschreven zullen worden op basis van de verzamelde en/of verwerkte gegevens?
Zult u er bij de minister van Binnenlandse Zaken op aandringen om de gewraakte bepaling opnieuw in te trekken, in afwachting van een eventueel alsnog te vragen advies aan de GBA?
Op dinsdag 19 januari 2021 zou het directiecomité van de GBA al een eerste bespreking hebben gehouden over het al dan niet ondernemen van juridische stappen tegen de gewraakte bepaling. Werd er ter zake door het directiecomité al iets beslist? Wat kunt u ons daarover meedelen?
05.02 Staatssecretaris Mathieu Michel: Mevrouw de voorzitster, mijnheer D'Haese, ik heb kennis genomen van het ministerieel besluit tot wijziging van het ministerieel besluit van mijn collega, de minister van Binnenlandse Zaken, van 28 oktober 2020 houdende dringende maatregelen om de verspreiding van het coronavirus COVID-19 te beperken.
De vraag die u stelt heeft voornamelijk betrekking op artikel 8 van dit ministerieel besluit, dat artikel 22 van het ministerieel besluit van 28 oktober 2020 wijzigt. Ik zie twee aspecten aan uw vraag: in de eerste plaats de invoering van een nieuw lid en in de tweede plaats de rol van de GBA.
Ten eerste, het nieuwe eerste lid van artikel 22 breidt het verzamelen van gegevens uit ten behoeve van alle diensten en instellingen die belast zijn met de strijd tegen de verspreiding van het coronavirus COVID-19, alsook van alle diensten en instellingen belast met het toezicht op de naleving van de verplichtingen opgelegd in het kader van de dringende maatregelen om de verspreiding van het coronavirus COVID-19 te beperken. Het tweede lid van hetzelfde artikel blijft echter van kracht en bepaalt het volgende: "De persoonsgegevens die voortkomen uit de verwerkingen bedoeld in het eerste lid worden bewaard met respect voor de bescherming van persoonsgegevens en niet langer dan noodzakelijk voor de doeleinden waarvoor zij worden verwerkt en worden vernietigd uiterlijk op de dag van inwerkingtreding van het ministerieel besluit dat het einde van de federale fase betreffende de coördinatie en het beheer van de crisis coronavirus COVID-19 aankondigt."
Gelet op de hiërarchie van de normen kan dit ministerieel besluit de verwerking van gegevens die in het specifiek kader van dit ministerieel besluit zijn verzameld niet vrijstellen van de door de GDPR en de privacywet opgelegde regels die in hun geheel van toepassing blijven.
Ten tweede, wat de rol van de GBA betreft, zoals ik al herhaaldelijk heb benadrukt, is de Gegevensbeschermingsautoriteit een onafhankelijk orgaan. Ik zal dus geen commentaar geven op de lopende werkzaamheden, temeer daar de door deze instelling verrichte onderzoeken vertrouwelijk zijn.
Wat de verwerkte gegevens betreft en het feit dat het verzamelen van deze gegevens bedoeld zou zijn ter ondersteuning van de controle op de naleving van de quarantainevoorschriften op de werkplek door de sociale inspectiediensten, verwijs ik naar wat minister Vandenbroucke heeft gezegd.
Wat de inwerkingtreding van de pandemiewet betreft, verwijs ik u naar de bespreking die vorige week in plenaire vergadering heeft plaatsgevonden. De minister van Binnenlandse Zaken benadrukte dat zij wenst dat deze zo spoedig mogelijk in werking treedt. In ieder geval kan niet worden uitgesloten dat de wet reeds tijdens de huidige crisisperiode van toepassing zal zijn.
Op het gevaar af mezelf te herhalen, meer algemeen staat de gegevensbescherming centraal in alle debatten. Daarom moet de evaluatie van de privacywet dringend versneld worden, om alle mogelijke twijfels weg te nemen. Dat is mijn rol.
05.03 Christoph D'Haese (N-VA): Mijnheer de minister, dank u wel voor uw antwoord, maar ik vind dat het eigenlijk ontgoochelt.
U zegt dat er iets niet is. U zegt dat er geen respect is. En u zegt dat er iets verkeerd is. U refereert aan een pandemiewet die er nog niet is. Daar zullen wij dus weinig mee vooruit geraken.
Dan beroept u zich in uw antwoord op het respect voor de onafhankelijkheid van de GBA. Dat vind ik een mooie argumentatielijn, ware het niet dat u nagelaten hebt een beroep te doen op die cruciale onafhankelijkheid.
U had een advies moeten vragen aan dat onafhankelijke orgaan. Geen advies vragen en nadien komen zeggen dat wij respect moeten hebben voor de onafhankelijkheid van dat orgaan, is eigenlijk betuigen dat u er geen respect voor hebt. Het is duidelijk dat er een voorafgaandelijk advies van dit onafhankelijk orgaan had moeten zijn gevraagd.
U bent begonnen met te zeggen dat een extensieve interpretatie mogelijk moet zijn. Ik zal uw antwoord nog eens goed nalezen, want dat was niet altijd perfect verstaanbaar. U pleit eigenlijk voor een heel extensieve interpretatie van de privacygegevens met het oog op deze coronagolf. Wij hebben allemaal de overtuiging dat wij deze golf met de meest efficiënte wapens moeten bestrijden, maar u bent blijkbaar van mening dat privacygegevens heel extensief geïnterpreteerd kunnen worden.
Ik mis daarvoor toch het noodzakelijke fundamentele respect voor de bescherming van essentiële gegevens.
Ik dank u voor uw antwoord. Wij blijven dit verder opvolgen.
Het incident is gesloten.
L'incident est clos.
De vergadering wordt gesloten om 12.26 uur.
La séance est levée à 12 h 26.