Vanessa Matz (cdH) : Madame la présidente, monsieur le secrétaire d’État, le Comité de sécurité de l’information (CSI) joue un rôle majeur dans le traitement des données personnelles relatives à la santé et à la sécurité sociale, notamment depuis le début de la crise sanitaire.
Il est important qu’il fonctionne correctement et surtout dans les règles. Et pourtant, alors qu’il est normalement composé de 16 membres (8 effectifs et 8 suppléants, à parité linguistique parfaite), un article de presse du 5 mai dernier révèle que le Comité ne fonctionne qu’avec 5 membres actifs au total, que ceux-ci se réunissent une fois par mois pour émettre des « délibérations », c’est-à-dire des autorisations d’usage de données suite à des demandes d’accès formulées par toute une série d’organismes publics (ONSS, INAMI, INASTI, Sciensano…) et d’institutions (centres de recherche, universités…).
Il a donc un pouvoir très important dans l’utilisation des données de santé. On lit aussi que certains membres ne semblent même pas au courant qu’ils font partie du CSI et affirment ne jamais avoir reçu d’invitation à participer. Depuis le début de la crise, le gouvernement s’est souvent appuyé sur le fait que les données des citoyens étaient soumises à rude épreuve et qu’elles seraient traitées en toute loyauté, avec vérification du CSI pour rassurer la population elle-même, et également le Parlement. Le CSI doit régulièrement décider, rendre des avis au gouvernement qui semble le solliciter régulièrement, voire même prendre des décisions cruciales.
C’est du moins ce qui ressort des déclarations des ministres. C’est donc un organe qui doit fonctionner correctement et dans le respect des lois. Depuis sa création par la loi du 5 septembre 2018, le Parlement n’a jamais procédé à la moindre nomination de membres du CSI. À titre transitoire, le mandat des membres externes du Comité sectoriel de la sécurité sociale et de la santé qui existait avant le CSI est maintenu jusqu’à la date de nomination des membres de la chambre sécurité sociale et santé du Comité de sécurité de l’information. Force est de constater que 3 ans plus tard, le CSI fonctionne toujours en mode transitoire, avec 5 membres au lieu de 16, dont un seul francophone alors que normalement la parité doit être respectée. La loi n’est donc pas appliquée.
Monsieur le secrétaire d’État,
- Les décisions prises par le CSI sont-elles toujours valables ?
- Comment pouvons-nous être assurés du bon contrôle de l’utilisation des données des citoyens quand le Comité de sécurité de l’information lui-même ne fonctionne pas dans le respect des lois ?
- Comment expliquez-vous que la loi du 5 septembre 2018 n’est toujours pas mise en application ?
- Dans quel délai la situation sera-t-elle régularisée ? Je vous remercie.
Mathieu Michel, secrétaire d’État : Madame la députée, il convient d’abord de préciser que le CSI n’est pas une autorité de surveillance au sens du RGPD et que les éventuelles délibérations du CSI ne peuvent avoir d’incidence sur les compétences de l’APD telles que définies par le RGPD et la loi du 3 décembre 2017.
Ainsi, tout intéressé peut déposer une plainte auprès de l’APD s’il pense que son droit à la protection de ses données privées a été violé. En termes de contrôle, l’APD ainsi que chaque DPO des administrations publiques peuvent toujours se saisir des décisions du CSI. Concernant son droit d’évocation, l’APD n’a pas encore pris de décision en vertu de l’article 39, §9, alinéa 2 de la loi du 5 septembre 2018.
Toutefois, dans sa décision n° 34/2020, la chambre de résolution des litiges de l’APD s’est prononcée sur le rôle des délibérations du CSI en général et de deux délibérations du CSI en particulier. En ce qui concerne la composition du CSI, trois appels à candidature ont été initiés sans succès.
Cette procédure a été en outre interrompue avec le passage du gouvernement en affaires courantes. J’attire votre attention sur le fait qu’en juillet 2020, le président de l’APD, au nom du comité exécutif, a envoyé une note à la Chambre des représentants abordant un certain nombre de questions juridiques découlant de la création et du fonctionnement du CSI.
L’APD n’a pas reçu à ce jour de réponse à ce mémorandum. En outre, au vu de l’actualité, il me semble important de bien clarifier la situation. Notre pays fait l’objet pour l’instant de deux procédures distinctes instruites par la Commission européenne : l’une concernant le CSI et l’autre relative à l’APD.
Dans le cas de la procédure relative au CSI, la Commission a décidé de suivre le processus habituel en initiant une phase de discussion informelle, qui est donc en cours. Par contre, pour ce que j’ai pu lire dans la presse concernant la procédure de l’APD, la Commission laisserait à la Belgique deux mois pour se mettre en ordre. Néanmoins, je ne dispose pas encore de la décision officielle prise par le collège des commissaires qui se réunit dans ce cadre aujourd’hui. Je n’ai dès lors pas encore pu analyser cette décision officiellement.
Dès ma prise de fonctions, j’ai pris la mesure de la complexité et de l’urgence de ce dossier, raison pour laquelle j’ai accéléré l’évaluation de la loi vie privée et initié l’opération transparence visant à rendre la confiance aux citoyens et aux entreprises dans le traitement des données. Dans ce contexte, et comme j’ai déjà eu l’occasion de le dire, il appartient à chacun de prendre ses responsabilités.
Aujourd’hui, manifestement, la Commission européenne a pris les siennes. Pour ma part, dans le cadre de l’opération transparence, nous arrivons au bout de l’évaluation de la loi vie privée, que j’ai accélérée et qui doit conduire à une révision du cadre juridique qui encadre l’application du RGPD dans notre pays.
Je ne manquerai évidemment pas de vous proposer des mesures structurelles afin qu’à l’avenir, cette situation ne se reproduise plus. Pour l’heure, ce qui doit nous concerner est la situation d’urgence qui est au cœur de l’actualité aujourd’hui et qui, à ma lecture, nécessite une position forte de chacune et chacun d’entre vous.
Il me semble urgent d’inviter le Parlement à prendre aussi sa responsabilité et à clarifier une situation que j’estime problématique. Je vous remercie.
Vanessa Matz (cdH) : Monsieur le secrétaire d’État, je vous remercie pour votre volontarisme dans ce dossier et pour les clarifications qui s’imposent compte tenu de la délicatesse des décisions qui sont à prendre, tout en respectant évidemment une série de discussions qui ont lieu à huis clos. Ici, bien sûr, je me suis concentrée sur le CSI sachant que tout est dans tout, comme vous venez de le rappeler.
Vous devez recevoir la délibération européenne aujourd’hui sur l’infraction pour laquelle la Belgique est mise en cause, notamment en termes de conflit d’intérêts. J’espère que, très rapidement, vous prendrez les décisions qui s’imposent. Vous avez en tout cas l’air décidé à le faire. Au niveau du Parlement, nous continuerons à être particulièrement vigilants sur ces questions qui ont, je le rappelle, une sensibilité particulière eu égard aussi à la période exceptionnelle de pandémie que nous vivons mais aussi de manière générale.
Nous comptons vraiment sur vous pour obtenir des clarifications et, pour reprendre vos termes, de la transparence sur ces dossiers qui concernent tous nos concitoyens.