Être aux commandes d’un pays n’est pas toujours aisé. Il y a des moments plus faciles que d’autres et nul doute qu’une pandémie fait partie des cas de figure les plus complexes. Une situation où, face à l’urgence et l’inconnue, des erreurs peuvent être commises, malgré les instances mises en place pour éviter cela. Ce fut malheureusement le cas pour l’État belge durant la crise Covid.

L’actualité : La Cour constitutionnelle a annulé l’habilitation donnée au Comité de sécurité de l’information d’autoriser le transfert de données de santé pendant la crise sanitaire, rapporte Le Soir.

• La faute de l’État réside dans cette autorisation donnée au Comité de sécurité de l’information (CSI), véritable ovni institutionnel, qui viole la Constitution belge.
• Une erreur qui ouvre la voie à de multiples recours en dommages et intérêts de la part de Belges concernés.

Un ovni institutionnel

Le Comité de sécurité de l’information existait bien avant la pandémie de coronavirus. Et déjà à l’époque, son existence posait question.

• Créé envers et contre tous en 2018, son fonctionnement est plus que nébuleux, de même que la nomination de ses membres – qui devaient normalement être au nombre de 16, mais qui étaient plutôt 5.
• Son rôle : autoriser ou non le traitement et l’usage de données relatives à la santé et à la sécurité sociale aux organismes et institutions publics.

L’expertise du Comité de surveillance de l’information a été particulièrement sollicitée par l’État durant la crise Covid. Celui-ci utilisait ce « joker » pour échapper à plusieurs verrous démocratiques et faciliter les échanges de données personnelles.

• Car oui, en vertu du RGPD, seul le Parlement est habilité à autoriser ce type de transfert dans le cadre d’une loi.
• L’État est également passé au-dessus de l’Autorité de protection des données (APD) pour faciliter le transfert de données.
• Et c’est bien ce qui chiffonne la Commission européenne, de même que notre Cour constitutionnelle.

À noter : épinglé à plusieurs reprises pour son fonctionnement nébuleux, le Comité de sécurité de l’information va avoir droit à une refonte complète. Sur de nouvelles bases saines, il sera désormais surveillé et contrôlé.

L’État belge a fauté

Contexte : une plainte d’une citoyenne qui demandait l’annulation pure et simple de la législation sur le traitement des données de vaccination contre le Covid. La Cour a rejeté toutes ses requêtes, sauf une. « Elle a en effet estimé que l’habilitation conférée au CSI d’autoriser la communication de certaines données enregistrées dans Vaccinet [l’accord de coopération] à des tiers viole bien la Constitution », a indiqué un porte-parole à Le Soir.

Verdict : dans son arrêt, la Cour constitutionnelle estime que les décisions du CSI « sont contraignantes, qu’elles font l’objet d’un faible contrôle de la part de l’APD et d’un contrôle juridictionnel, mais qu’elles ne sont pas soumises au contrôle parlementaire. Les personnes concernées sont donc privées de la garantie d’un contrôle par le Parlement […]. La Cour en conclut que l’habilitation critiquée est inconstitutionnelle. »

• Et ce n’est pas la première fois que le fonctionnement du CSI est remis en cause. Des experts, ainsi que plusieurs députés, lui ont fait les mêmes reproches depuis sa création.
• À noter que le CSI avait déjà fait l’objet d’un recours en septembre dernier contre l’accord de coopération sur le traçage des personnes infectées.  

Une avalanche de recours

Si la haute juridiction condamne les agissements du CSI dans ce cadre précis, son arrêt « n’entraine pas de façon automatique l’annulation des actes d’exécution qui auraient été pris sur base de l’habilitation donnée au CSI ». La Cour constitutionnelle n’annule donc pas les arrêtés et décrets qui en découlent.

En revanche, son arrêt ouvre grand la porte aux actions en responsabilité civile contre l’État belge.

• Toutes les personnes dont les données personnelles à caractère sensible ont été communiquées avec l’autorisation du CSI pourraient donc introduire un recours auprès du Conseil d’État ou d’un tribunal, résume Le Soir.
  • Cela représente plusieurs millions de Belges, puisque ce sont les personnes vaccinées qui sont concernées.
• Et des dommages et intérêts pourraient être octroyés aux personnes lésées. Encore faut-il démontrer que la faute de l’État belge a causé un dommage.
  • Ce qui est tout à fait envisageable, car comme l’a expliqué Maitre Mona Giacometti, avocate, professeure invitée à l’UCLouvain et l’USaint-Louis, « ces personnes ont subi une atteinte à leur droit à la protection des données personnelles sur base d’une faute de l’État. »
• Reste à voir si les Belges feront valoir leurs droits.