Le projet belge de tracing n'est pas légal

Les données récoltées par le contact tracing sont stockées dans une base de données unique et gérée par Sciensano. ©AFP

Dans une note que L’Echo a pu consulter, l’Autorité de protection des données démonte le projet de loi sur la gestion des données issues du contact tracing qui doit être voté ce mardi au Parlement. Il serait en infraction avec la législation européenne.

Le contact tracing se met petit à petit en place et les données s’accumulent. Un arrêté royal du 4 mai prévoit que les données de santé de patients suspects ou présentant un diagnostic positif au Covid-19 seront récoltées et traitées dans une banque de données gérée par Sciensano. Celle-ci rassemblera également les données des personnes qui auront été en contact avec ces patients, les médecins traitants et d’autres informations sensibles.

Ce mardi, une proposition de loi encadrant ce dispositif et cette base de données doit être votée à la Chambre. En l’état actuel, la proposition de loi initiée par le cabinet de Philippe De Backer (Open Vld) et qui sera défendue en personne par Sciensano pose question. Sécurité, anonymisation, infraction au RGPD, centralisation non justifiée, les griefs ne manquent pas.

Non-respect du secret médical 

"Si la loi passe, à défaut de justification, elle est contraire au RGPD. À moins que les défenseurs de la loi sortent une justification de leur chapeau, elle sera illégale."
Alexandra Jaspar
Présidente du centre de connaissances de l’Autorité de protection des données

Après une lettre ouverte de 300 personnalités belges contre cette proposition de loi, c’est l’Autorité de protection des données (APD) qui monte au créneau. L’APD, c’est l’organe de contrôle officiel pour tout ce qui touche aux données en Belgique. Alexandra Jaspar, présidente du centre de connaissances de l’APD, est inquiète et stupéfaite du texte de loi qu’elle a examiné. Son équipe vient de remettre un avis en extrême urgence sur la proposition de loi en question. Le moins que l’on puisse dire, c’est que l’avis n’est pas tendre.

"Soyons clairs, ce texte ne pose pas les bonnes questions." Premier problème, le non-respect du secret médical. Le texte prévoit que le médecin traitant est obligé de communiquer les données de ses patients, ce qui constitue une infraction du secret médical. L’ordre des médecins a d’ailleurs demandé un cadre légal spécifique à l’utilisation des données médicales, sans effet pour l'instant.

Tout savoir sur le coronavirus Covid-19

La pandémie de coronavirus Covid-19 frappe de plein fouet la vie quotidienne des Belges et l'économie. Quel est l'impact du virus sur votre santé et sur votre portefeuille? Les dernières informations et les analyses dans notre dossier. 

Par thématique:

Mais le véritable point noir du dossier est ailleurs. Pointée du doigt depuis plusieurs semaines, la centralisation des données dans une énorme base de données fait bondir les experts en sécurité, organisations de défense des droits de l’homme et bien sûr l’Autorité de protection des données : "Ce texte organise une centralisation des données des personnes infectées, potentiellement infectées, des médecins, des contacts et tout ça chez Sciensano, alors que ce n’est pas nécessaire. On pourrait tout à fait avoir plusieurs bases et plusieurs opérateurs." Plusieurs opérateurs et plusieurs bases de données, cela évite des recoupements de données et l’identification des personnes.

Contraire au RGPD

À côté de ces données déjà très sensibles, Sciensano va récolter des données qui semblent bien éloignées du but initial comme les numéros de registre national, les numéros de la Banque-Carrefour des entreprises ou encore les numéros Inami des médecins. "On va se retrouver avec une base de données gigantesque et Dieu sait ce qui sera fait avec ces informations." Dans l'avis que nous avons pu consulter, l’Autorité de protection des données rappelle que "la création d’une base de données centralisée, en particulier lorsque celle-ci reprend des données sensibles, provenant de sources diverses et qu’elle poursuit plusieurs finalités distinctes, constitue une ingérence importante dans le droit à la protection des données à caractère personnel".

"Ce texte organise une centralisation des données des personnes infectées, potentiellement infectées, des médecins, des contacts et tout ça chez Sciensano, alors que ce n’est pas nécessaire."
Alexandra Jaspar
Présidente du centre de connaissances de l’Autorité de protection des données

Pour être conforme au RGPD, la régulation européenne en matière de protection des données, il faut justifier la création d’une telle base de données, or le texte ne le fait pas. "Si la loi passe, à défaut de justification, elle est contraire au RGPD. À moins que les défenseurs de la loi sortent une justification de leur chapeau, elle sera illégale."

Sciensano au cœur du malaise

À côté de la centralisation, il y a un autre sujet épineux: le gestionnaire. Le texte prévoit que Sciensano sera l’unique gestionnaire des données. Si l’usage immédiat des données est précisé, un mystérieux comité "de sécurité et d’information" sera seul juge pour décider à qui seront transmises les données de la population belge. En résumé, il est impossible de savoir quelles données seront transmises à qui et pourquoi.

En coulisse certains vont jusqu’à craindre que Sciensano s’arroge les pleins pouvoirs quant à la collecte, la gestion et le partage des données avec des tiers. Mais revenons au projet de loi une dernière fois. On y découvre que Sciensano a décidé de nommer un DPO, un responsable du traitement des données, une obligation depuis la mise en place du RGPD il y a deux ans. L’APD se dit stupéfaite que l’organe fédéral de référence pour la gestion des données santé des Belges ne prenne cette disposition que maintenant. À y regarder de plus près, Sciensano se permet même une autre entorse au règlement en ne respectant pas l’obligation de fournir les informations sur les traitements de données sur son site internet.  

Contactés pour réagir, ni Sciensano, ni Emmanuel André, chargé de la coordination du contact tracing au niveau fédéral, n’étaient disponibles pour nous répondre.

La Belgique mise sur l'app corona d'ici début juillet

Notre pays est prêt à lancer une app de tracing du coronavirus début juillet. Cette application aidera à tracer les contacts d’un patient atteint du coronavirus. Un groupe de travail interfédéral, sous la direction Bart Preneel, professeur à la KULeuven, dévoilera cette technologie mercredi. "Cinq semaines plus tard, d’ici début juillet, on pourra lancer des tests en live", affirme Preneel.

Les choses avancent également au niveau politique. Le cadre juridique dans lequel l’app doit opérer est en proposition de loi au Parlement. Au final, ce seront quand même les entités fédérées qui devront donner le feu vert. Et de ce côté-là aussi, le son de cloche est positif. "Nous n’avons jamais eu de problème a priori avec l’application", affirme Wouter Beke (CD&V), ministre flamand du Bien-être.

L’arrivée d’une application était devenue incertaine après l’engouement premier. Les gouvernements focalisaient sur le contact tracing manuel lors duquel des employés de call-centers appellent des patients atteints du coronavirus pour tracer leurs contacts.

Efficace aussi en cercle limité

Le ministre de la Vie privée Philippe de Backer (Open VLD) avait prévenu que l’application serait trop peu installée pour être effective. 60% d’utilisation par la population est nécessaire pour qu’elle soit efficace, selon les experts. Mais l’administrateur délégué de l'entreprise d'IT Smals et conseiller d’État dans nombre de dossiers digitaux, Frank Robben, remet cela en question dorénavant. Selon lui, l’app pourrait déjà être utile dans des cercles limités tels que les entreprises.

L’application fonctionnera grâce à la technologie Bluetooth, présente sur tous les smartphones. La technique choisie a été développée par un consortium européen auquel Bart Preneel a participé. La Suisse et l’Autriche agissent de la même manière. "Ainsi, nous pouvons reprendre 80% de leur travail", selon le professeur de la KUL.

 

Lire également

Publicité
Publicité