L’idée de créer en Wallonie une autorité de protection des données (en abrégé APD) rencontre d’emblée deux objections: le coût que représenterait cet organe supplémentaire dans une région dite au bord de la faillite et l’existence d’une autorité fédérale dont les prérogatives et la compétence rendent inutile la création d’un organe supplémentaire au niveau de notre entité fédérée.
Notre propos entend plaider au contraire pour la création d’une autorité capable de contrôler les flux au sein, en provenance ou à destination des autorités publiques wallonnes ou plus largement du secteur public wallon. Pourquoi et comment instituer cette autorité?
L’argument “Faisons-le puisque la Flandre et la Région bruxelloise le font” pourrait suffire. L’exemple flamand de la VTC (Vlaamse Toezicht Commissie), une version régionale et néerlandophone de l’APD, doit être cité.
L’organe a été créé en 2016 et consacré à nouveau par un décret de 2018 qui élargit encore ses compétences. Il figure comme un comité indépendant d’accompagnement des entités flamandes pour les assister dans la protection des données. Tout traitement lié à des données flamandes effectué par des “autorités publiques flamandes” (communes, CPAS, écoles, crèches, gouvernement) doit passer par un avis de la VTC.
La voie est ouverte
A ceux qui s’inquiètent des questions de conflits de compétence entre cet organe et le fédéral, la Cour constitutionnelle et le Conseil d’Etat ont répondu. Si ces instances ont reconnu le droit des entités fédérées de créer leurs propres autorités de contrôle, elles leur assignent des limites strictes à leurs compétences (en particulier, l’avis de la section de législation du Conseil d’Etat du 27 juin 2017).
Ainsi, les autorités de contrôle des entités fédérées peuvent uniquement être autorisées à exercer un contrôle des règles spécifiques que les entités fédérées ont promulguées pour les traitements de données dans le cadre d’activités qui relèvent de leur compétence.
Par ailleurs, ces dispositions ne peuvent porter atteinte aux dispositions de la loi belge fédérale sur la protection des données. Précisément c’est à propos de la façon dont les régions organisent leurs flux d’informations soit au sein du secteur public, soit du secteur public en direction du secteur privé (et ce, sur base de la directive dite open data de 2019), que peut se concevoir la nécessité d’une réglementation spécifique wallonne. Nous reviendrons sur ce point.
On note par ailleurs, toujours à l’appui de cette compétence résiduaire des APD régionales ou communautaires, que la loi du 3 décembre 2018 portant création de l’Autorité (fédérale) de protection des données donne compétence à cette autorité “sans préjudice des compétences des gouvernements de Communauté et de Région fixées par la Constitution” de notre état fédéral.
Yves Poullet (Namur Digital Institute): “La création d’une autorité wallonne de protection des données avait été ressentie comme nécessaire, dès l’origine de la définition des stratégies de simplification administrative et de partage des données.”
On rappellera d’ailleurs que, dès 2013, dans le cadre de l’adoption d’une politique d’informatisation de leurs administrations, la Région wallonne et la Communauté française s’étaient dotés dans le cadre d’un accord de coopération d’un organe propre destiné à contrôler le respect par les administrations de la législation de protection des données dans le cadre de leurs interactions et du partage de leurs données. A savoir: la Commission Wallonie-Bruxelles de contrôle des échanges de données (CCED).
Sans doute convient-il d’ajouter que cet organe n’a jamais vu le jour mais ce projet, consacré par un texte réglementaire, démontre que la création d’une autorité wallonne de protection des données avait été ressentie comme nécessaire, dès l’origine de la définition des stratégies de simplification administrative et de partage des données. Autre argument en faveur de cette création régionale, on souligne les précédents étrangers, soit la création des autorités de protection des données créées dans des pays fédéraux comme la République fédérale d’Allemagne ou l’Espagne.
Une plus grande proximité
C’est donc la nécessité de disposer d’un organe de contrôle des politiques régionales visant à la meilleure efficacité du secteur public par le partage de données et la création de plateformes d’échanges de données qui justifiait et justifie toujours la création d’une APD “indépendante” rattachée au législatif wallon.
Cette APD wallonne doit pouvoir non seulement intervenir en connaissance de cause des besoins du terrain par ses avis, recommandations en matière mais, également, à la demande du citoyen ou d’initiative sanctionner le non-respect des règles de protection des données. À l’instar de ce qui existe en Communauté flamande et en Région bruxelloise et dans le respect des compétences de l’autorité fédérale, une autorité de protection des données en Région wallonne devrait être créée, en particulier pour examiner tout projet de création de traitement au sein du secteur public wallon et constituer un lieu de recours lors de plainte émise pour le non-respect par ces autorités des lois de protection des données.
Cette exigence de veiller au respect de la protection des données par le secteur public est plus présente aujourd’hui encore que demain. La multiplication des flux entre administrations régionales, provinciales et communales, voire de manière plus large au sein du secteur public, en est une première raison.
L’administration doit fonctionner non plus en silos mais en réseaux thématiques de préférence (mobilité et environnement ; énergie ; emploi ; économie…). Ce mouvement est lui-même encouragé, pour ne pas dire dicté, par les règlements de l’Union européenne. Les textes européens foisonnent en effet.
La proposition d’un règlement sur l’IA tend à favoriser la création de méga-données et l’utilisation d’applications d’intelligence artificielle par l’administration au service des citoyens et des entreprises tout en exigeant l’évaluation a priori des risques de ces applications, en particulier en ce qui concerne le respect des libertés qu’assure au premier chef le RGPD.
La directive dite “Open data” de 2019 permet dorénavant la mise à disposition de données à caractère personnel moyennant des précautions bien compréhensibles en matière de protection des données. La proposition de règlement dit “Gouvernance des données” et celle “relative à des règles harmonisées relatives à l’accès et à l’utilisation équitables des données” mettent en place un cadre facilitant non seulement l’accès par les entreprises et les associations privées aux données du secteur public mais dans le même temps la possibilité pour les pouvoirs publics de bénéficier des données tant des citoyens que des entreprises.
Yves Poullet: “Si l’impératif de respect du RGPD est rappelé avec force par l’Union européenne, on conçoit que la tentation tant de l’efficacité administrative que du service à rendre à la société et à son développement économique rendra demain cet impératif plus difficile encore à suivre.”
L’heure européenne est à un partage des données, y compris personnelles, partage qui s’entend dorénavant de manière bilatérale entre les secteurs privé et public. Si l’impératif de respect du RGPD est rappelé avec force par l’Union européenne, on conçoit que la tentation tant de l’efficacité administrative que du service à rendre à la société et à son développement économique rendra demain cet impératif plus difficile encore à suivre. Demain, nous devons souhaiter que la Région wallonne s’inscrive dans cette stratégie européenne mais elle ne peut le faire sans se doter, au cœur même de sa gouvernance, d’un organe capable d’imposer le respect de cet impératif.
Qui veillera à l’évaluation des projets d’intelligence artificielle au sein du secteur public?
Qui contrôlera le respect des garanties de protection des données dans le cadre des transferts entre secteurs public et privé?
Qui agréera les “intermédiaires” qui assureront ces communications entre ces secteurs?
Qui définira les données authentiques et fixera les règles d’accès à celles-ci?
Qui contrôlera la ou les banques-carrefour interface entre les diverses bases de données administratives wallonnes?
Nouvelles compétences
La considération des textes européens nous amène à suggérer que l’autorité de contrôle wallonne du futur poursuive de nouveaux objectifs et soit dotée de nouvelles compétences par rapport à ceux traditionnels. Relevons en deux.
- La première est certes d’équilibrer les exigences de transparence du secteur public et le respect de la protection des données. A cet égard, à l’instar du modèle québécois repris dans d’autres pays, nous plaidons pour un organe rassemblant les prérogatives actuellement confiées à la CADA (Commission d’accès aux documents administratifs) dans le cadre des décrets wallons mettant en œuvre les directives relatives à l’accès et l’exploitation des données détenues par le secteur public et celles qui seront confiées à cet organe en matière de protection des données.
Il nous apparaît que c’est au sein d’un même organe que ces deux préoccupations peuvent au mieux s’équilibrer. Ne peut-on coupler ce champ de compétences et celui de la CADA de la Région wallonne dont le champ de compétences ratione personae est le même, plus encore, depuis la directive de 2019, à savoir les autorités publiques au sens le plus large? Rappelons ici que la CADA a été créée en vertu de l’article 32 de la Constitution par le décret du 30 mars 1995 relatif à la publicité de l’administration.
Il est certain que ce couplage ou fusion des organismes qui oeuvrent, l’un à la protection des données dans les traitements de l’autorité publique (et notamment grâce à l’accès des personnes concernées à leur dossier), et l’autre à l’accès aux informations détenues par les autorités publiques, présentent des compétences qui tantôt se recoupent, tantôt se complètent. Sans vouloir affirmer d’emblée l’intérêt de cette fusion, nous pensons qu’il serait utile d’explorer cette voie qui permettrait à cette Commission unique (APD/CADA) d’avoir une meilleure approche des différents intérêts en cause dans le débat autour des finalités de l’information publique. - La seconde compétence concerne l’attention particulière que cette instance nouvelle devrait accorder aux risques particuliers attachés aux utilisations par le secteur public de l’intelligence artificielle. Il s’agit d’exiger que les évaluations de ces risques soient bien mises en œuvre et rendues transparentes. Le cas échéant, des balises devront être imposées et un débat public devra être initié par cette nouvelle instance.
Vers une Commission unique qui aurait une meilleure approche des différents intérêts en cause dans le débat autour des finalités de l’information publique?
Que cette APD/CADA indépendante au sens fort donnée par le RGPD, c’est-à-dire à la fois dans sa composition, son mode de nomination et ses moyens financiers et en personnel, soit instituée au cœur de la gouvernance wallonne et permette à notre Wallonie d’assurer sa propre maîtrise de la transformation numérique nécessaire du secteur public et ce, au service des libertés de tous et chacun. Tel est notre vœu.
Yves Poullet
professeur émérite à la faculté de droit de Namur,
co-président de Nadi, membre de l’APD belge
et de l’académie royale de Belgique
Le raisonnement repris dans cette Tribune résume certains développements de l’ouvrage “Intelligence artificielle et autorités publiques – pour un cadre juridique et éthique de l’IA publique en Wallonie”, ouvrage écrit conjointement par Yves Poullet, Noémi Bontridder et Loïck Gérard et publié par Larcier dans la collection des Cahiers du CRIDS, n°53.
Découvrez-nous sur Facebook
Suivez-nous sur Twitter
Retrouvez-nous sur LinkedIn
Régional-IT est affilié au portail d’infos Tribu Médias.