La vaccination risque de piétiner la protection des données personnelles

Le gouvernement prévoit que les données individuelles soient conservées jusqu'au décès de la personne vaccinée. Trop long, estime l'APD. Qui dénonce également les accès laissés à des tiers à la base de données centralisée, où sont stockées des données sensibles, parce que nominatives. ©BELGA

L'Autorité de protection des données a rendu son avis sur l'arrêté royal fixant l'enregistrement et l'usage des données dans le cadre de la vaccination contre le Covid-19. Et il n'est pas tendre.

C'est le prochain virage à ne pas rater pour la Belgique. Le début de la campagne de vaccination approche à grands pas: la date officielle est toujours celle du 5 janvier, même s'il n'est pas exclu qu'un petit tour de chauffe, réalisé avec quelques milliers de doses livrées avant l'an neuf, soit effectué plus tôt. Au-delà des aspects logistiques, l'arsenal législatif belge doit lui aussi être adapté.

Telle est la raison d'être de la loi du 14 décembre, votée en vitesse lundi en commission Santé et jeudi en plénière. Portant essentiellement sur les tests antigéniques, elle aborde également - façon fourre-tout - l'enregistrement des données relatives à la vaccination dans le cadre de la lutte contre la pandémie. En son titre 5, assez lapidaire, puisqu'il ne fait que renvoyer au Roi pour toutes les modalités. Autrement dit, au gouvernement.

"Cela laisse beaucoup trop de pouvoir au gouvernement. Et devrait être du ressort du législateur."
Jacques de Toeuf
Président honoraire de l'Absym

Carte blanche au gouvernement

De quoi déjà susciter l'inquiétude de l'Absym, l'Association belge des syndicats médicaux. "Cela laisse beaucoup trop de pouvoir au gouvernement, souligne son président honoraire, Jacques de Toeuf. Et devrait être du ressort du législateur." Catherine Fonck, cheffe de file cdH à la Chambre, n'est pas plus tendre. "C'est un remake de la loi sur le tracing. Cette loi est creuse, tardive et anticonstitutionnelle. Il n'y a rien dedans, et il aura fallu régler cela par un accord de coopération." Accord de coopération qui aurait demandé davantage de temps. "Mais ce n'est pas comme si on parlait de vaccins depuis quinze jours. Tout ceci symbolise l'impréparation du gouvernement."

"Ce n'est pas comme si on parlait de vaccins depuis quinze jours. Tout ceci symbolique l'impréparation du gouvernement."
Catherine Fonck
Cheffe de groupe cdH à la Chambre

La loi renvoyant au gouvernement De Croo, celui-ci n'a guère tardé à dégainer un arrêté royal, porté par la ministre de l'Intérieur Annelies Verlinden (CD&V) et le ministre de la Santé Franck Vandenbourcke (sp.a). Déjà plus loquace que la loi, celui-ci ne tergiverse pas. Et demande que soient enregistrées les données d'identité de la personne vaccinée, ainsi que celles de la personne ayant administré la petite piqûre, sans oublier le lieu, les informations relatives au vaccin et les potentiels effets indésirables. Données pouvant être transmises à des "instances ayant une mission d'intérêt général".

Pour la petite histoire, le nom de la base de données utilisée n'y est pas mentionné, seulement la décision de la conférence interministérielle Santé publique, qui a opté pour Vaccinnet, le système utilisé en Flandre. "Il faudra prévoir des formations à Bruxelles et en Wallonie", glisse Catherine Fonck.

"Ingérence considérable"

Cet arrêté royal, auquel les députés n'ont guère eu accès, a été soumis en urgence à l'Autorité de protection des données (APD) - celle-là même qui avait malmené l'accord de coopération bouclé pour le suivi de contacts. Eh bien, l'APD a rendu son avis ce vendredi. Et l'on peut dire que ses dix-neuf pages ne ménagent pas les options prises par le gouvernement De Croo.

"La création d'une base de données centralisée, de par son traitement à grande échelle de données sensibles accessibles à des tiers, constitue une ingérence considérable dans le droit à la protection des données personnelles."
Alexandra Jaspar
Directrice du Centre de connaissances de l'Autorité de protection des données

"La création d'une base de données centralisée, de par son traitement à grande échelle de données sensibles accessibles à des tiers, constitue une ingérence considérable dans le droit à la protection des données personnelles", peut-on y lire. Ce qui est toujours possible, rappelle Alexandra Jaspar, la directrice du Centre de connaissances de l'APD, qui signe le rapport. Si cela s'avère nécessaire et proportionné aux objectifs poursuivis et si c'est encadré par une norme suffisamment claire et précise.

Or, outre le fait qu'il constitue une entorse à la Constitution, la Convention européenne des droits humains et au règlement RGPD, cet arrêté ne répond guère aux exigences de clarté et de prévisibilité, tranche l'APD. En ce qu'il ne définit pas suffisamment les objectifs poursuivis, décrits de manière si "vaste" qu'ils en perdent toute précision. En ce qu'il ne respecte pas le principe du traitement minimal des données. Ainsi, le pilotage et la gestion statistique de la vaccination, en ce compris la détermination de la couverture vaccinale, peuvent se faire à partir de données anonymes - ou à tout le moins pseudonymisées. Nul besoin donc de centraliser les numéros de registre national. Ainsi, la période de conservation des données est "extrêmement longue"; de fait, puisqu'elle est prévue jusqu'au décès de la personne vaccinée. D'où la demande de l'APD de revoir celle-ci à la baisse.

Risque de discrimination?

En ceci encore - ce n'est pas fini - que l'accès à ces données par des tiers doit être strictement encadré: qui, et pour quoi faire? Or la mention "d'organismes ayant une mission d'intérêt général" laisse la porte si grande ouverte qu'il en devient impossible de prendre connaissance de qui fera quoi avec ses données personnelles. D'autant plus que les objectifs sont faits du même flou globalisant.

Avec une crainte à la clef: que l'usage "aussi large et illimité" des données de vaccination "par toutes sortes d'autorités" conduise de facto à un "risque de discrimination pour l'accès à certains services gouvernementaux en fonction du statut vaccinal". Autrement dit, que les non-vaccinés se voient refuser certaines prestations, et ce alors que le vaccin n'est pas obligatoire.

En filigrane se pose une question éminemment politique. Peut-on prétendre laisser le choix de la vaccination aux citoyens si une flopée d'administrations peuvent ensuite aller voir qui est vacciné et qui ne l'est pas? Et ce, sans qu'il y ait eu le moindre débat public sur la question?

Lire également

Publicité
Publicité
Publicité