Willem Debeuckelaere, président de la Commission Vie privée:” Nous ne sommes absolument pas prêts “

Willem Debeuckelaere © Dieter Telemans
Pieterjan Van Leemputten

2018 sera une année charnière pour la Commission Vie privée belge. En effet, le RGPD élargira son champ d’action. En parallèle, l’institution se restructure sans bénéficier de moyens supplémentaires. Bref, des temps chahutés, mais surtout passionnants.

Au 25 mai prochain, la Commission de la protection de la vie privée deviendra l’Autorité de protection des données (APD). Dans le même temps, elle change de visage pour passer de 16 commissaires à 5 directeurs fixes. Son nouveau mode de fonctionnement reste toutefois vague. ” J’ai lu sur le site Web de Data News que j’étais le nouveau président [une affirmation du secrétaire d’Etat De Backer, NDLR], mais à ma connaissance, je ne suis pas candidat. ” Sur le terrain, Willem Debeuckelaere est depuis 13 ans président de la Commission Vie privée et ces 2 dernières années l’un des principaux évangélistes du RGPD vers les entreprises.

Le défi est de taille. ” Nous ne sommes absolument pas prêts, estime-t-il. En Europe, nous nous situons certes dans le peloton de tête dans la mesure où nous nous sommes préparés le mieux possible. Reste que nous affirmons qu’il est insensé d’introduire une telle modification fondamentale sur 2 ans. ”

Debeuckelaere n’élude pas la critique, surtout dans la manière dont l’Europe a rédigé ce règlement, mais dans l’application qui est confiée aux autorités locales. ” L’objectif était de travailler par étapes, sachant que les autorités nationales devaient d’abord se restructurer avant d’analyser le texte du RGPD, une véritable brique. En fait, la Commission européenne s’est moquée de nous. En effet, elle devait d’abord nous aider dans des domaines comme la certification, alors qu’elle ne commencera en fait qu’en mai prochain. ”

C’est relativement tard pour une législation qui entrera en vigueur le 25 du même mois.

WILLEM DEBEUCKELAERE : En effet. Nous disons d’ailleurs que tout doit être prêt en 2 ans (2016-2018), alors que le premier soutien effectif n’arrivera qu’en mai de cette année. Surtout pour les petites entreprises et les indépendants qui se retrouvent bien démunis. Un programme devait être mis en place pour aider certains secteurs. Eh bien, fin janvier, nous pouvions introduire une proposition qui devait être examinée dans les semaines ou les mois suivants avant que des moyens financiers ne soient dégagés. Or il faudra attendre l’automne 2018.

Vous avez récemment déclaré dans Trends que la nouvelle autorité n’interviendrait pas directement dans les entreprises. Ne risquez-vous pas que certains se montrent laxistes face à la loi ?

DEBEUCKELAERE : Les dispositions qui existent seront contrôlées, mais sans procéder à des visites, pour regarder ce qui ne va pas. Si nous constatons que certaines organisations ne respectent pas la loi, nous devrons intervenir.

Quelle est l’idée reçue que vous entendez le plus ?

DEBEUCKELAERE : L’une des interprétations erronées les plus fréquentes est que toute entreprise doit désormais nommer un délégué à la protection des données (DPO). Certes, les choses ne sont pas vraiment claires. Dans les administrations publiques, c’est obligatoire. Dans le privé, il s’agit surtout d’organisations qui traitent de gros volumes de données personnelles.

Même lorsque celles-ci sous-traitent le traitement ?

Willem Debeuckelaere
Willem Debeuckelaere© Dieter Telemans

DEBEUCKELAERE : Un responsable du traitement doit être désigné. Mais nous estimons que c’est surtout nécessaire lorsque le traitement de données personnelles constitue le coeur de métier. Dans ce cas, un DPO est certainement requis. De même, la nature et la taille de l’organisation jouent un rôle. Un petit cabinet d’avocats ne doit pas nommer un DPO, à l’inverse d’une association professionnelle comme le barreau. Tout comme un cabinet de 60 avocats pourra peut-être avoir besoin d’un DPO.

Où situez-vous la limite ? 20 collaborateurs ? 100 clients ?

DEBEUCKELAERE : Il faut voir au cas par cas. Le cabinet d’avocats où quelqu’un a dérobé les données qui ont débouché sur les Panama Papers devrait en principe [compte tenu de l’importance des données traitées, NDLR] avoir besoin d’un DPO. Une chaîne de supermarchés également. Mais un revendeur de pièces détachées pas forcément. L’autre exemple est celui du boucher de quartier qui traite des données personnelles grâce à une carte de fidélité et possède une liste de ses fournisseurs. Ici, le traitement de données personnelles ne se fait pas à grande échelle. Par ailleurs, il existe des catégories particulières prévues à l’article 9 : le traitement de données personnelles à caractère pénal. Nous en revenons ici à l’exemple du cabinet d’avocats. A ce niveau, il s’agit surtout de collaboration. La France a mis en place depuis une dizaine d’années la CNIL, la Commission Nationale de l’Informatique et des Libertés, qui fait en somme office de DPO. Par ailleurs, l’ensemble du notariat français dispose de 2 DPO, ce qui semble réaliste.

Il est faux de croire que le consentement permet de faire tout et n’importe quoi.

La nouvelle réglementation prévoit aussi une certification. Qui s’en chargera ?

DEBEUCKELAERE : La loi le prévoit que tant les commissions vie privée que des acteurs locaux puissent le faire, mais la majorité des autorités de protection de la vie privée en Europe ne s’en chargeront pas elles-mêmes. Cela dit, elles définiront les conditions d’accréditation afin que des organismes de certification privés puissent assumer ce rôle. Cela dit, il est faux de croire que le PDO devra être certifié. Le RGPD laisse cette question en suspens. Il pourra arriver que des formations soient dispensées qui débouchent sur une certification, mais il n’est pas exact que nous pourrons ou devrons l’octroyer.

Nos compétences et nos missions sont doublées, mais avec la même enveloppe financière.

Y a-t-il d’autres idées reçues erronées ?

DEBEUCKELAERE : Il y a beaucoup de bruit autour de la notion de consentement. Il semble qu’une fois l’autorisation accordée, tout est permis. C’est une grave erreur ! Les articles 5 et 6 du RGPD concernent le traitement de données personnelles et le consentement. Si le consentement est obtenu, il doit toujours l’être aux conditions suivantes : le traitement des données doit être proportionnel et honnête, la transparence doit être de mise et les données doivent disparaître dès qu’elles ne sont plus nécessaires. Il est faux de croire que le consentement permet de faire tout et n’importe quoi.

Beaucoup de mailings demandent aujourd’hui une reconfirmation pour être en règle.

DEBEUCKELAERE : Il s’agit là d’une deuxième idée reçue : s’il existe une relation contractuelle, il est permis de traiter des données à caractère personnel. Si je prends un abonnement à Data News, vous avez évidemment besoin de mon adresse et de mes données de paiement, et ceci ne nécessite pas de consentement spécifique. D’un côté, on fait du consentement une sorte de passe-partout comme s’il fallait un consentement partout et pour tout. La situation est pourtant claire : le consentement est nécessaire pour pouvoir traiter des données personnelles, mais ce traitement doit être conforme à l’article 5 du RGPD.

En Belgique, on ne recense pas tellement de violations à la vie privée. Si cela arrive, c’est plutôt dans le chef de gros acteurs et c’est lié à l’utilisation de certains logiciels.

Mais le collecteur des données peut parfois juger lui-même dans certains cas ?

Willem Debeuckelaere
Willem Debeuckelaere© Dieter Telemans

DEBEUCKELAERE : Il s’agit de l’intérêt légitime. Outre le consentement, un contrat, l’intérêt vital ou une mission légale, il est permis de traiter des données personnelles sans contrat ou mission à condition d’estimer soi-même que l’infraction n’est pas en contradiction avec son propre intérêt. Il s’agit là d’un exercice périlleux.

Comment fixer la limite ? Est-il proportionnel qu’un club de sport où vous allez nager 10 fois vous envoie un dépliant spécifique sur la natation ?

DEBEUCKELAERE : Cela me semble proportionnel et pertinent pour la personne dont les données sont traitées.

Mais quid si une banque vous offre un meilleur tarif parce qu’elle dispose de données sur votre activité sportive ?

DEBEUCKELAERE : C’est délicat. Surtout si un club sportif ou un magasin de sport a transmis ces données à une banque.

Le sentiment général n’est-il pas aujourd’hui qu’une entreprise ne peut pas ‘exploiter’ des données personnelles ?

DEBEUCKELAERE : Le sentiment qui prévaut dans les organismes financiers est qu’ils peuvent gagner de l’argent avec leurs données. Voici quelques années, une banque étrangère avait annoncé son intention d’utiliser les big data et l’IA pour vendre son fichier de clients à des annonceurs. Dans la foulée, de nombreuses banques belges ont modifié leurs conditions d’utilisation au détriment de leurs clients et pour leur permettre d’utiliser plus librement leurs données. L’impression que tout n’est pas permis avec les données existe, de même que le sentiment que ces données rapportent de l’argent. Ce qui m’inquiète en l’occurrence, c’est que leur déclaration sur la vie privée reste en vigueur. Cela apparaît comme un exercice brillant, une prise de position solide. Mais entre-temps, les banques modifient leurs conditions d’utilisation et la cohérence entre les deux m’échappe.

Le risque est mince, mais supposons qu’une entreprise entende parler du RGPD pour la première fois aujourd’hui. Que doit-elle faire ?

Willem Debeuckelaere
Willem Debeuckelaere© Dieter Telemans

DEBEUCKELAERE : Prendre notre brochure en 13 étapes et se rendre compte qu’il y a du nouveau. Par ailleurs, elle doit procéder à un inventaire et établir un registre de fonctionnement [des processus d’entreprise, NDLR]. Toute entreprise devrait déjà l’avoir fait. Autrefois, certains domaines étaient certes exemptés, comme la gestion du personnel. Mais en principe, toute entreprise doit disposer d’un tel registre.

Pouvez-vous concevoir que certaines PME n’aient pas l’envie ou les moyens de suivre toutes ces étapes ? La loi est très large et il est possible d’être soit tout juste conforme, soit exagérément conforme.

DEBEUCKELAERE : C’est une question de responsabilité à assumer. Prenez l’analyse de risque : les processus que vous mettez en oeuvre impliquent-ils un risque ? Dans la pratique, il ne devrait pas y avoir de gros problème. En Belgique, on ne recense pas tellement de violations à la vie privée. Si cela arrive, c’est plutôt dans le chef de gros acteurs et c’est lié à l’utilisation de certains logiciels.

Que peut faire un citoyen s’il estime qu’une organisation est imprudente dans l’utilisation de ses données ?

DEBEUCKELAERE : Aujourd’hui, il est possible de vérifier dans le registre public si un traitement spécifique de données personnelles est renseigné chez nous. Reste que c’est maintenant peu utilisé et que cette obligation de notification disparaît avec le RGPD. A partir du 25 mai, il faudra s’adresser à l’entreprise elle-même ou à son DPO pour demander quelles données sont collectées et à qui celles-ci sont éventuellement communiquées, l’usage qui en est fait et la manière de traiter ces données. En fait, ces informations devraient être presque automatiquement disponibles.

Vous précisez que l’APD ne sera pas d’emblée opérationnelle, tout comme beaucoup d’entreprises ne seront pas prêtes. Quand la vitesse de croisière sera-t-elle atteinte ?

DEBEUCKELAERE : Vous précisez que l’APD ne sera pas d’emblée opérationnelle, tout comme beaucoup d’entreprises ne seront pas prêtes. Quand la vitesse de croisière sera-t-elle atteinte ?

Quelles sont vos relations avec les grandes sociétés de traitement des données ? Nous savons que Facebook ne vous apprécie pas, mais que Telenet et Proximus précisent faire appel à la publicité personnalisée. Les entreprises sont-elles disposées à aborder la question ou est-ce plutôt une obligation juridique ?

DEBEUCKELAERE : La position vis-à-vis de la question de la vie privée a fortement évolué depuis l’affaire Swift en 2007 [qui a montré que le Trésor américain avait accès à des données financières européennes, NDLR]. A l’époque, les entreprises ont pris conscience que la vie privée était une véritable problématique. Nous nous sommes d’ailleurs associés à Beltug pour évoquer le sujet avec les sociétés technologiques. Je pense que désormais, rares sont les entreprises belges qui traitent la question par-dessus la jambe. Surtout lorsque les grands employeurs ont nommé un DPO ou ont abordé cette législation avec leur avocat ou avec nous. Les principaux problèmes ne se situent pas en Belgique. A cet égard, j’ai une opinion différente de celle de Matthias Dobbelaere-Welvaert qui estime que nous perdons notre temps en rappelant à Facebook la portée de la loi, mais en allant contrôler le boucher du coin. Je trouve cet avis complètement ridicule.

Certes, il reste en Belgique des bidouilleurs et il se passe des choses qui ne devraient pas mais je ne pense pas que cela

Les petits acteurs ne commettent-ils pas d’erreur s?

DEBEUCKELAERE : Certes, mais je suis surpris par leur désir de changer les choses. Voici quelques années, une importante fuite de données s’est produite chez Mensura. Ils ont à l’époque réagi de manière un peu forcée, mais ont directement pris les mesures techniques nécessaires pour éviter que la situation ne se reproduise. Certes, il reste en Belgique des bidouilleurs et il se passe des choses qui ne devraient pas, mais je ne pense pas que cela soit à grande échelle.

Pouvez-vous vous en accommoder ? Que des fautes se produisent et que l’on soit magnanime alors que des règles existent.

DEBEUCKELAERE : Nous allons certes mettre des entreprises en demeure. C’était autrefois possible et ce l’est toujours avec le RGPD, et je m’en réjouis. Mais nous ne devons pas nous contenter de réprimer. Cette répression ne doit intervenir que si l’entreprise refuse vraiment de collaborer ou est de mauvaise foi. Cela dit, les manquements les plus graves doivent disparaître. Ne pas utiliser le HTTPS pour envoyer des données sensibles est inacceptable, même si l’on n’est pas de mauvaise foi. Celui qui conduit une voiture doit s’assurer qu’elle est en ordre de marche.

Davantage de missions avec moins de moyens

En marge de l’interview, Willem Debeuckelaere a insisté à plusieurs reprises sur le fait que son organisation était fortement sous pression. Ses missions sont nettement étendues, tandis que la nouvelle législation suscite un tsunami de questions. Dans le même temps, la structure doit être modifiée pour devenir l’Autorité de Protection des Données (APD). Du coup, la période est particulièrement chaotique alors que les moyens se font rares.

Pour leur part, les politiques estiment que la restructuration doit être neutre en termes budgétaires. Sachant que l’APD passera de 16 commissaires à 5 directeurs, de nouveaux moyens devraient en principe être libérés. Une position que nuance Debeuckelaere. ” Les hommes politiques n’aiment pas entendre qu’il s’agit d’un non-sens. Nos compétences et nos missions sont doublées, avec notamment des tâches de contrôle et de répression qui exigent de nombreuses ressources, mais avec la même enveloppe financière. C’est impossible. De plus, nous devons remplir une tâche très technique, ce qui nécessite de trouver ou de fidéliser des spécialistes qui sont mieux payés dans d’autres secteurs. Autrefois, on pouvait encore convaincre les gens avec l’avantage d’une nomination définitive, mais ce n’est plus le cas. Que reste-t-il ? Un abonnement de train pour Bruxelles.

Le RGPD exige par ailleurs tant de répondre à de nombreuses questions qu’un besoin de communication. Du coup, Debeuckelaere voudrait une task force de 16 personnes supplémentaires sur 2 ans (de mi-2017 à mi-2019) pour supporter la communication avec l’Autorité de Protection des Données. Il s’agirait de personnes capables de fournir des informations sectorielles, de faire des présentations au nom de l’APD et de rédiger des manuels. Mais il n’a pas encore reçu de feu vert dans ce sens.

” On attend de nous que nous communiquions et que nous soyons présents partout, mais sans nous donner les moyens nécessaires. On lance des campagnes pour boire du lait, parfait ! Mais pour la vie privée, pas un euro supplémentaire. Par rapport à d’autres pays, c’est presque risible. Aux Pays-Bas et en Irlande, le personnel et le budget ont doublé. Et l’autorité vie privée au Luxembourg est presque aussi importante qu’en Belgique. Il est honteux que la protection de la vie privée suscite si peu d’intérêt. ”

” Aujourd’hui, nous travaillons donc globalement avec la même équipe. Mais c’est en plus de notre mission actuelle de conseil, de réponse aux questions et de traitement des plaintes. On en compte plus de 5.000 par an avec 70 recommandations par an. ”

” En fait, nous sommes pour l’instant en pleine folie. On peut tenir un mois, peut-être 6. Mais je ressens chez nos collaborateurs une forme d’épuisement. Une sorte de défaitisme voit le jour parce qu’aucun signal n’émane des politiques. Dans le même temps, j’entends certaines personnes comme Peter De Decker (parlementaire N-VA) dire que nous ne faisons rien pour aider les entreprises. Cela me scie car nous n’arrêtons pas. En fait, nous faisons aujourd’hui beaucoup plus que ce que nous devrions et nous travaillons surtout pour les citoyens. Pas pour accompagner les entreprises et les administrations. Pourtant, nous essayons d’aider chacun un maximum, mais nous le faisons avec les moyens du bord, ceci au détriment de la santé de nos collaborateurs. ”

Pour assumer les tâches supplémentaires liées au RGPD (indépendamment de la communication sur la législation), l’organisation peut certes recruter quelques personnes. Comme la portée des missions n’est toujours pas claire, ces recrutements sont revus chaque année. Pour l’heure, il s’agit de 3 personnes, dont l’une a été recrutée. Par ailleurs, il faudra un délégué à la protection des données (DPO), même si celle-ci devra gérer le traitement des données tant la nouvelle APD que d’autres organismes.

Willem Debeuckelaere

? 63 ans

? Président de la Commission Vie Privée depuis janvier 2005

? A travaillé précédemment comme avocat, juge et chef de cabinet du ministre de l’Intérieur (1995-1998)

Et Facebook ?

Au niveau européen également, de nouvelles mesures devront être prises selon Debeuckelaere pour identifier les problèmes. ” En fait, il faudrait une autorité européenne de la vie privée. En général, les principaux problèmes se situent au niveau européen ou international. Ce faisant, il ne faudrait plus se battre dans les 28 pays différents, mais l’Europe ne l’a pas voulu. ”

Debeuckelaere pointe en particulier les géants technologiques de la Silicon Valley. ” Regardez Google, Amazon, Apple et Facebook. Lorsqu’il y a un problème, ils s’empressent de préciser qu’il faut s’adresser à un juge de Mountain View et que la Belgique n’a rien à dire. Or il est impossible d’affirmer que nous n’avons pas notre mot à dire lorsqu’il s’agit du traitement de données de millions de Belges. ”

A ce niveau, le RGPD ne promet aucune amélioration. ” La situation va même empirer. Une entreprise active dans l’UE pouvait jusqu’à présent être condamnée dans n’importe quel pays. Google a son siège principal pour l’Europe en Irlande, mais a d’abord été condamnée en Espagne. Mais à partir du 25 mai, la compétence se limitera à l’autorité du pays où se trouve le siège principal. ” Dans le cas de Facebook ou Google, seule l’ADP irlandaise pourra entreprendre une action. ” Nous ne pourrons pas intervenir nous-mêmes, même en première instance. Je m’attends donc à voir les entreprises faire leur shopping pour s’installer là où la législation sur la vie privée est appliquée avec le moins de rigueur. ”

Debeuckelaere se montre pourtant optimiste. ” L’autorité irlandaise a vu entre-temps ses moyens multipliés par 3, avec un doublement de ses effectifs. Et une nouvelle présidente a été nommée pour exercer ces contrôles. Reste que la règle de l’établissement principal représente un cadeau énorme pour les multinationales. Il s’agit là évidemment d’une simplification par rapport à la situation actuelle, mais j’aurais préféré une seule commission vie privée pour toute l’Europe. “

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire