Les 400.000 festivaliers ont fait l’objet d’un screening secret par la police qui a passé au peigne fin ses bases de données. Personne n’était au courant, pas même la Commission vie privée qui n’a pas apprécié. Les critères de refus sont inconnus. La police assume un ordre donné par d’autres. La fête n’est pas gâchée, mais l’intrusion d’un flicage généralisé dans ce grand moment de liberté laissera des traces.

Tomorrowland

Tomorrowland est un festival de musique électronique organisé au mois de juillet à Boom, dans la province d’Anvers, en Belgique. Il figure parmi les festivals les plus réputés au monde. Près de 400 000 festivaliers venus d’environ 200 pays différents. L’auteur n’y a jamais été (ce n’est pourtant pas l’envie qui manque si quelqu’un a une place), mais les avis sont unanimes : on est au niveau du Burning man, il faut le faire une fois dans sa vie. Dingue !

Au programme : musique, fête, dodo, musique, fête, dodo, etc.

Cette année, le programme a innové puisqu’il inclut un contrôle policier, secret, préventif et général de tous les festivaliers.

Un contrôle ? Quel contrôle ?

Quelques dizaines de festivaliers qui avaient acheté un ticket en bonne et due forme, ont reçu un message étonnant leur disant que pour des raisons de sécurité, leur inscription au festival n’avait pas été validée par les services compétents et qu’en conséquence, le billet était retiré (et remboursé).

Contrôle ? Quel contrôle ?

Le site sur lequel acheter des billets ne signale aucun contrôle.

La police n’a rien annoncé.

La commission pour la protection de la vie privée n’était au courant de rien.

On ne sait pas si c’est la police locale, la police fédérale ou la sûreté de l’Etat qui est en charge du contrôle.

On ne sait pas si l’on est dans un cadre de lutte contre le terrorisme ou de droit commun.

Les personnes refoulées n’ont pas reçu de motivation.

La Commission pas contente

Les victimes des décisions négatives étaient renvoyées vers la Commission vie privée pour obtenir davantage d’explications concernant le refus.

Problème, la commission n’était au courant de rien : « La Commission vie privée n’a en aucune façon été impliquée dans ce contrôle général préventif qui est problématique sur plusieurs points. Le contrôle n’a pas du tout été approuvé par la Commission vie privée. On donne l’impression, à tort, que nous pouvons fournir aux victimes une raison à l’avis négatif.

La Commission vie privée déplore de ne pas avoir été consultée au préalable pour examiner la licéité de ce contrôle préventif à la lumière de la Loi vie privée et lance une enquête à ce sujet avec l’aide du Comité P et l’Organe de Contrôle de la gestion de l’information policière (« COC »). »

Quelle base légale ?

Puisque le mal était fait, il fallait trouver une base légale.

Il s’agirait d’une décision des bourgmestres (maires) des communes concernées, de faire procéder de manière proactive à un contrôle de chaque festivalier par la police fédérale : « toute personne qui est enregistrée dans la Banque de données Nationale Générale (BNG) de la police et qui se voit attribuer un avis négatif sur la base de sa personne, se voit refuser l’accès au festival et est remboursée du ticket déjà acheté. »

Devant cette explication très vague (avis négatif, certes, mais sur quel critère ?), il a ensuite été affirmé que la base légale serait une « interprétation de la législation actuelle sur les contrôles d’identité ».

À nouveau, l’explication paraît particulièrement fumeuse.

La philosophie de la législation sur les contrôles d’identité n’est certainement pas d’autoriser un contrôle de masse justifié par l’inscription à un événement. C’est un peu comme si la police décidait de se fonder sur cette législation pour faire un contrôle de masse de tous ceux qui vont en vacances à tel endroit. Pourquoi pas ensuite un contrôle de masse sur tous les blonds, ou tous les hommes entre 40 et 45 ans ? L’inscription à un festival de musique ne peut pas être la condition suffisante pour contrôler en masse tous les participants sur la base de la loi générale sur les contrôles d’identité.

Les services de sécurité ont alors donné, en off, la seule raison plausible (à défaut d’être acceptable) : on a fait les contrôles de manière anticipée car il aurait été presque impossible d’un point de vue pratique d’effectuer un contrôle d’identité sur place et cela aurait créé des files très longues qui pourraient constituer une cible pour un attentat.

Soit. Admettons qu’un contrôle systématique de l’identité sur place était infaisable pour 400 000 personnes. Il n’empêche qu’une difficulté pratique n’est pas une base légale, et qu’il reste cette désagréable impression de flicage qui découle du fait que tout ceci était secret et n’a été révélé que parce que quelques journalistes s’en sont émus.

Le GDPR

Pour la prochaine édition de Tomorrowland, qui aura lieu après l’entrée en vigueur du GDPR (25 mai 2018), les choses seront d’ailleurs différentes.

En principe, il y a six hypothèses qui permettent d’asseoir la licéité d’un traitement (le consentement de la personne concernée, la nécessité contractuelle, le respect d’une obligation légale, la sauvegarde d’intérêts vitaux, l’exécution d’une mission d’intérêt public ou les intérêts légitimes du responsable du traitement.)

La 6e hypothèse (l’intérêt légitime du responsable du traitement) a disparu dans le GDPR pour ce qui concerne les autorités publiques dans l’exercice de leur mission.

Le considérant 47 justifie l’interdiction par un retour strict au principe de légalité qui s’impose à toute action de telles autorités : dès lors qu’il appartient au législateur de prévoir par la loi la base juridique pour de tels traitements, les autorités publiques ne peuvent invoquer un simple intérêt légitime pour justifier ceux-ci.

Le Règlement va plus loin en réaffirmant ce même principe de légalité concernant les traitements de données. Dès lors que le traitement poursuivi dans le secteur public aura pour base juridique la nécessité de respecter une obligation légale (art. 6, § 1er, c) ou la nécessité d’exécuter une mission d’intérêt public ou relevant de l’exercice de l’autorité publique (art. 6, § 1er, e), ces causes de légitimation devront trouver une base spécifique dans le droit de l’Union ou dans le droit de l’État membre (art. 6,§3). Les finalités du traitement devront alors être définies par la loi s’il s’agit pour le traitement de respecter une base légale et, à tout le moins, être nécessaires à l’exécution de la mission en cause.

Bref, il ne sera plus question de couvrir une initiative manquant de base légale par des considérations générales : il y aura une base légale, ou il n’y aura pas de traitement.

La police en est consciente, qui demande expressément au législateur de lui fournir une base légale pour ce genre de situation. Elle a en effet la désagréable impression d’être le dindon de la farce : elle paye l’addition pour une initiative douteuse prises par les bourgmestres (maires) concernés.