Tine A. Larsen et la CNPD ont fait taire les critiques internationales avec la sanction record contre Amazon. Mais d’autres critiques se font jour quant à la gouvernance de l’institution. (Photo: Matic Zorman/Maison Moderne/Archives)

Tine A. Larsen et la CNPD ont fait taire les critiques internationales avec la sanction record contre Amazon. Mais d’autres critiques se font jour quant à la gouvernance de l’institution. (Photo: Matic Zorman/Maison Moderne/Archives)

Deux des cinq directeurs de l’Autorité de protection des données belge ont démissionné, en décembre, après deux ans d’alerte sur des dérives internes. Son équivalent luxembourgeois, la CNPD, est-il mieux armé face à de potentiels conflits d’intérêts? La question renvoie aux particularités du Luxembourg, sans trouver d’écho ministériel. 

Après deux ans de conflits, d’abord larvés puis étalés au grand jour, la directrice de la «Première ligne» de l’Autorité de protection des données (APD) belge, Charlotte Dereppe, et la directrice du Centre de connaissance, Alexandra Jaspar, ont jeté l’éponge, début décembre.

Si les deux femmes visent expressément le directeur de la jeune institution, David Stevens, elles égratignent toute l’organisation, dénonçant des conflits d’intérêts, une volonté de faire taire toute voix discordante et d’éliminer certaines enquêtes, la privation de revenus et de ressources ou encore des tentatives d’intimidation.

Au point que la Commission européenne a lancé une procédure d’infraction contre la Belgique dès mars dernier, indiquant que «certains de ses membres ne peuvent être considérés comme étant à l’abri de toute influence extérieure parce qu’ils rendent compte à un comité de gestion dépendant du gouvernement belge, participent à des projets gouvernementaux sur la recherche des contacts dans le cadre du Covid-19 ou sont membres du Comité de sécurité de l’information. Les informations fournies dans la réponse apportée par les autorités belges en avril 2021 n’ont pas dissipé ces préoccupations.» Après une deuxième lettre en juin, la Commission a fini par adresser un avis motivé à la Belgique, le 12 novembre, pour la presser de se mettre en règle. Les démissions de décembre ne semblent pas montrer qu’on se dirige vers une amélioration du système.

Le ministère d’État muet

Des voix s’élèvent en catimini au Luxembourg pour dire que la Commission nationale pour la protection des données (CNPD) n’est pas beaucoup mieux lotie. «Je ne veux pas aller plus loin. Le Luxembourg est un petit pays», se défendent deux sources, à tour de rôle. Interrogée, la présidente de la CNPD, , renvoie vers le ministère d’État pour toute question sur l’indépendance.

Mi-décembre, deux députés du CSV, et , ont demandé au ministre en charge des Communications et des Médias – en l’occurrence le Premier ministre, (DP) – s’il est d’avis que la composition actuelle de la CNPD, y compris de ses membres suppléants, n’est pas sujette à critique et s’il ne considère pas que l’exercice de fonctions dirigeantes auprès de l’Administration ou de services étatiques devrait faire obstacle à une nomination en tant que membre ou suppléant de la CNPD.

Le ministère n’a pas donné suite à nos demandes depuis la mi-décembre.

Quelle est la situation de la CNPD? Selon , les membres de la CNPD nommés et révoqués par le Grand-Duc sur proposition du gouvernement «agissent en toute indépendance dans l’exercice de leurs missions et pouvoirs. Ils demeurent libres de toute influence extérieure, qu’elle soit directe ou indirecte, et ne sollicitent ni n’acceptent d’instructions de quiconque.»

Un peu plus loin, à l’article 27, les exclusions sont plus précises: «Les membres du collège ou membres suppléants ne peuvent être membres du gouvernement, de la Chambre des députés, du Conseil d’État ou du Parlement européen, ni exercer d’activité professionnelle ou détenir directement ou indirectement des intérêts dans une entreprise ou tout autre organisme opérant dans le champ des traitements de données».

Enfin, paradoxe de la loi, l’article 30 prévoit que «les membres du collège et membres suppléants ne peuvent siéger, délibérer ou décider dans une affaire dans laquelle ils ont un intérêt direct ou indirect», alors même que les deux autres articles les présupposent indépendants.

La gouvernance de la CNPD est assurée collégialement par quatre membres effectifs exerçant ce seul mandat. Le collège est composé de:

– Tine A. Larsen (présidente);

– , avocat, à la CNPD depuis 2005, commissaire;

– , commissaire depuis 2019, après avoir quitté ses fonctions de directeur des partenariats industriels et des transferts de technologie au SnT de l’Université du Luxembourg; et

– , fonctionnaire à la CNPD depuis 2012, et nommé commissaire en août dernier, .

Quatre membres suppléants sont quant à eux amenés à remplacer ou suppléer les membres effectifs:

– , directrice adjointe de l’Institut luxembourgeois de régulation (ILR) et présidente du conseil d’administration du Film Fund, où elle représente le ministre ayant l’Audiovisuel dans ses compétences;

– Martine Kraus, magistrate;

– , aussi administrateur de Connect2act, société de conseil en informatique et technologie bancaire, et membre du Beirat (advisory board member) de la banque Raiffeisen.

– et François Thill, chargé de direction Cybersecurity au ministère de l’Économie, représentant du Luxembourg à l’European Network and Information Security Agency, administrateur de LuxTrust Development, filiale de LuxTrust, et président du conseil d’administration de Securitymadein.lu.

S’il ne fait aucun doute qu’ils respectent l’article 27, la nuance est plus subtile pour l’article 17, qui les invite à s’affranchir de toute influence ou de toute instruction. Quid, par exemple, de la CNPD qui aurait décidé de lancer une enquête sur une entité publique? C’est  (CSSF). C’est tout le problème auquel sont confrontés les métiers de l’audit, par exemple.

«C’est tout le problème du Luxembourg», conclut, désabusé, un autre interlocuteur. «Pour faire tourner des entités comme celles-là, il faut avoir des gens qui savent de quoi ils parlent, et ces gens-là sont forcément déjà impliqués dans des sociétés publiques ou privées. Il ne faut pas être naïf: quoi que vous fassiez, le Luxembourg reste un petit pays.»

Dans la décision rendue le 17 décembre par le tribunal administratif au sujet de l’astreinte qu’Amazon aurait dû payer chaque jour tant qu’elle n’a pas modifié son système, ses avocats, Catherine Di Lorenzo et Thomas Berger (Allen & Overy), se sont chargés de le rappeler d’une autre manière. «L’organisation interne de la CNPD souffrirait d’une confusion organique et, en même temps, d’une subordination hiérarchique entre les personnes composant respectivement les autorités de saisine, d’instruction et de jugement», est-il écrit dans l’ordonnance. «En effet, chacun des commissaires serait amené à exercer, tour à tour, les fonctions d’enquête et de jugement tout en maintenant des relations et sans séparation stricte, ce qui entraînerait une atteinte au principe d’impartialité qui s’appliquerait aux autorités administratives lorsqu’elles adoptent des sanctions.»

Articles Associés