L'accord de coopération sur le contact tracing violerait le RGPD

L'accord de coopération prévoit une application mobile fédérale. ©Photo News

Comme ses prédécesseurs, l'accord sur le contact tracing signé par les entités fédérées est dénoncé par l'Autorité de protection des données, qui n'a pas été consultée. Au-delà du contenu potentiellement en infraction du document, de nouveaux conflits d'intérêts apparaissent.

Au fur et à mesure que l’épidémie décline, le dossier du contact tracing tente de se faire oublier. Dernier épisode en date, le monde politique a choisi d’opter pour un accord de coopération pour valider la stratégie et les modalités du contact tracing plutôt qu’une proposition de loi. Or, un accord de coopération est discuté à huis clos, entre cabinets ministériels et loin du Parlement. Il n’est soumis qu’une fois signé, et uniquement pour approbation, au pouvoir législatif. Une initiative dénoncée dans une lettre ouverte par la Ligue de droits humains et 150 personnalités belges. Lors de la signature de l’accord entre les Régions, peu d’informations ont filtré sur son contenu. Les différents textes précédents sur le sujet avaient fait l’objet de vifs débats dans la société, au sein du Parlement et avaient été recalés par l’Autorité de protection des données (APD) et le Conseil d’État sur de nombreux points.

Cet accord de coopération, L’Echo est parvenu à le consulter. Long de 41 pages et particulièrement technique, nous l’avons examiné de long en large. Comme lors des précédentes moutures, nous avons voulu connaître l’avis de l’APD, autorité de référence en la matière, supposant qu’elle avait été consultée. Surprise, le texte n’est jamais arrivé sur le bureau d’Alexandra Jaspar, directrice du Centre de connaissance de l’APD et chargée de remettre systématiquement avec son équipe, des avis du même type. "Nous attendions d’être consultés comme pour tout texte normatif qui met en place un traitement de données à caractère personnel, mais étrangement il semble qu'on ne va pas le soumettre à notre avis."

Le processus serait-il antidémocratique? "Cela pose un problème majeur, car ce texte ne fera pas l’objet d’un débat au Parlement, puisqu’il s’agit d’un accord de coopération déjà conclu. Il y aura simplement un vote où les parlementaires ne vont pas aller à l’encontre de ce qui a été négocié par leurs représentants."

La mégabase de données toujours illégale

Au-delà du processus, plongeons dans le texte en lui-même. Il est bien plus long et dense que les versions précédentes. Premier point noir déjà pointé précédemment: la création d’une mégabase de données aux mains de Sciensano. L’APD avait déjà vivement critiqué cette idée, Alexandra Jaspar n’en démord pas: "Il n’y a aucune nécessité de créer une base de données centrale chez Sciensano avec toutes les données. Des bases de données délocalisées au niveau des contacts center par région suffiraient." Sans justification valable, cette base de données sera illégale aux yeux du RGPD, le règlement européen en la matière. Si la création de cette base de données ne se justifie pas, pourquoi est-elle le point central de cet accord? Une source proche du dossier nous confie: "Cette base de données n’est pas créée pour le traçage, mais pour la recherche."

"Ce texte pose un problème majeur car il ne fera pas l’objet d’un débat au Parlement, puisqu’il s’agit d’un accord de coopération déjà conclu."
Alexandra Jaspar
Directrice du Centre de connaissance de l'APD

En fouillant dans le texte, on trouve effectivement trace de cette volonté. "La base de données semble plus destinée a rassembler une grande quantité de données médicales relatives aux citoyens belges qu’à servir de support pour le contact tracing." En poursuivant la lecture, on découvre que ces données seront accessibles à certains laboratoires et pas d’autres.

"Permettre à la recherche d’avancer, c’est très bien, mais pourquoi octroyer un monopole de l’utilisation des données à ceux qui montreront patte blanche à un certain comité", sans oublier que le RGPD contient tout un chapitre sur la recherche scientifique qu’il suffit de respecter, commente Alexandra Jaspar. Dans cette base, on retrouvera des données comme le numéro de registre national (ou le numéro de la Banque carrefour de la Sécurité sociale), les numéros Inami de médecins, les numéros de téléphone et bien d’autres données qui interpellent comme les images des scans des poumons. On y prévoit aussi un couplage possible avec d’autres bases de données liées à la santé, comme celle contenant le "DMC", le dossier médical central de tous les patients belges.

Cinq bases de données sont mentionnées dans le document, toutes interconnectées avec la base de données centralisée de Sciensano, au moyen de multiples flux de données. "Une architecture gigantesque et des transferts dont les coûts en argent public sont vraisemblablement énormes. Personne ne nous dit qui est derrière ces travaux de développements, mais nous avons une petite idée."

Visite domiciliaire et suivi des malades

Dans plusieurs chapitres du document, la notion de "visite physique" apparaît. "Ces visites physiques sont des visites domiciliaires qui ne disent pas leur nom. Si on envisage des visites domiciliaires, il faut un débat au Parlement sur la question et une transparence sur la manière dont elles vont se passer", précise Alexandra Jaspar.

De la même manière, l’idée de "suivi des personnes contactées" reste évasive. "Difficile de comprendre autre chose que le fait qu’un contrôle sera mis en place. Si tel est le cas, il faut l’écrire et on ne sera alors plus dans la recommandation, mais dans l’obligation."

Une application fédérale

Un chapitre entier est dédié à la future application. Il semble entériné qu’il n’y en aura qu’une pour tout le pays. L’application devrait être choisie par le comité interfédéral dédié au contact tracing. "Je suppose - et surtout j’espère - que le choix sera effectué par un panel d’experts représentatifs et indépendants, sur base de critères transparents et défini à l’avance et que toutes les lignes directrices du Comité européen de la protection des données seront suivies", s’inquiète Alexandra Jaspar.

L’accord sera soumis au vote du Parlement prochainement, mais sans débat ni amendement possible. Or le texte organise, in fine, l’usage des données médicales de l’ensemble de la population belge.

Frank Robben place ses pions

Frank Robben place ses pions

L’homme derrière la stratégie belge en matière de contact tracing, c’est Frank Robben. Épinglé par une enquête de nos confrères du magazine Wilfried pour son rôle omnipotent en matière de données de santé en Belgique, l’homme aux multiples mandats n’est jamais très loin quand on parle de contact tracing. Pour éviter d’éventuels soupçons de conflits d’intérêts, différents ministres régionaux de la Santé ont expliqué qu’un cabinet d'avocat indépendant avait été engagé pour rédiger l’accord de coopération. Après une rapide enquête, nous avons pu retrouver l’auteure originale du document. Il ne s’agit pas de Frank Robben himself, mais il n’est pas loin. Le document a été initialement rédigé par une avocate qui travaille pour un cabinet gantois. Jusqu’ici rien de répréhensible, sauf que l'avocate en question est également conseillère légale au sein du cabinet de Maggie De Block pour travailler notamment sur la plate-forme fédérale eHealth que dirige... Frank Robben. 

Autre fait troublant, la place laissée vacante par Emmanuel André à la tête du comité interfédéral Testing et Tracing n’a pas tardé a passer sous le joug de Frank Robben. Pas par l'homme en personne, mais par Karine Moykens qui, depuis mars 2018, est également membre du conseil d’administration de SMALS, entreprise dont Frank Robben est le CEO.

 

Lire également

Publicité
Publicité

Messages sponsorisés