La gestion des données du traçage remise en cause

Une application de traçage numérique en Belgique, cela relève plus du mirage qu’autre chose. Nos voisins européens sont eux sur le point d’activer chacun la leur, mais avec deux théories qui s’affrontent sur la centralisation ou non des données récoltées. Ce débat a aussi lieu chez nous, car même avec du tracing via des call centers, la quantité de données sensibles récoltées est énorme.

Apple et Google ont fait plier l'Allemagne

Nos voisins allemands sont un cas d’école en la matière. Ils ont été les premiers à parler de "Contact tracing" en Europe dès la fin mars. Le gouvernement allemand a d’abord eu l’intention de créer sa propre application et de centraliser les données qui seraient récoltées par son utilisation. Après une levée de boucliers de la communauté scientifique face à une telle pratique, l’Allemagne a fait un virage à 180 degrés, poussée dans le dos par Apple et Google.

Les deux géants plaident, le mot est faible, dans ce dossier pour une gestion décentralisée des données. Pour "faciliter" le choix des pays, Apple et Google ne permettent pas aux États qui ont choisi une gestion centralisée d’utiliser leurs systèmes d’exploitation pour leur application anti-Covid-19. La France en fait actuellement l’amère expérience. Avec leur application StopCovid et la volonté de centraliser les données, les Français sont pour l’instant bloqués et négocient avec les deux géants américains.

En Belgique, on en est toujours au stade d’établir un cadre légal au niveau fédéral et les régions et communautés, titulaires de la compétence, privilégient un traçage "à l’ancienne" à base de call center et de bonne mémoire des citoyens. Pourtant la question de la centralisation des données et de leur gestion se pose aussi chez nous, peu importe la méthode utilisée.

Le Fédéral pointé du doigt

Que cela soit via le traçage manuel ou digital, un grand nombre de données sensibles vont être récoltées. Jusqu'à très récemment, on ignorait comment les autorités belges comptaient procéder. La semaine dernière, l'Autorité de protection des données (APD) a publié un avis sur un projet d'arrêté royal visant à donner un cadre légal à ce fameux "contact tracing". L’avis est pour le moins défavorable et a fait réagir, notamment la Ligue des droits humains, alors qu'entre-temps l'arrêté royal a été publié officiellement. "La base de données et les centres d'appel sont aussi inquiétants que l'application de tracing anti-Corona", explique Olivia Venet, présidente de la Ligue des droits humains.

"L'objectif de l'application, dont la nécessité est contestable et contestée, est d'avertir les autres personnes qu'elles ont été en contact avec une personne infectée. Avec les centres d'appel, l'intention semble bien plus de contrôler et de sanctionner les gens. Cet arrêté royal crée ainsi une "base de données carte blanche" avec laquelle, en l’état, il sera possible de traiter beaucoup trop de données pour de trop nombreuses finalités", poursuit Olivia Venet. Le projet d'arrêté prévoit la création et la gestion d'une gigantesque base de données comprenant toutes les données des malades du Covid-19 et de leurs contacts.

Lors d’une intervention à la Chambre ce mercredi, le ministre Philippe De Backer, à l'origine du texte, a indiqué que la gestion de ces données devra être encadrée par une loi et débattue au parlement. Une résolution portée par le groupe Ecolo/Groen définissant les balises à respecter concernant le "contact tracing" a d'ailleurs été votée en commission de la Chambre ce mercredi. En attendant un débat parlementaire sur un texte de loi, l’APD se demande si ces données ne seront pas utilisées, par exemple, pour contrôler les médecins, permettre de recruter pour certains emplois des personnes immunisées au virus ou encore pour refuser le remboursement de soins médicaux.

Sciensano le tout-puissant

Toujours selon l'arrêté royal rédigé par le cabinet du ministre Philippe de Backer, l'inclusion de données dans la base de données ne sera pas volontaire. Toute personne dont le test de dépistage au Covid-19 est positif sera incluse, même ceux qui sont soupçonnés d'être positifs. Dernier aspect, et non des moindres, il n'existe pas de directives claires sur la manière de supprimer les données récoltées. Le projet d’arrêté royal prévoit simplement pour l’instant que les données seront supprimées le 9 juin, une date sujette à modification.

Derrière cette base de données, on retrouve Sciensano, qui sera le gestionnaire et garant des données. Un unique organe responsable qui ne manquera sûrement pas d’alimenter les débats autour de cette question dans les jours à venir, car selon l'APD, cette base de données pourrait à terme concerner la moitié de la population belge.