Coronavirus et données personnelles : la Belgique dans un flou dangereux ?

En pleine crise du Covid-19, et alors que les courbes de contamination remontent fortement, tout le monde semble s’accorder sur un constat : il faut aller vite, agir dans l’urgence pour gérer la crise. Y compris dans l’application des mesures, qui sont décrétées par arrêtés royaux et ministériels plus souvent que par des lois depuis le début de la pandémie. C’est notamment le cas pour l’utilisation de nos données personnelles. Quels en sont les risques ?

Le 12 janvier 2021, un arrêté ministériel a justement fait lever des sourcils et alerté notamment l’autorité de protection des données : on y voit des termes comme le "datamining" et "datamatching". En clair, il s’agirait de collecter des données personnelles, les stocker et les croiser… mais pour en faire quoi ?

A cette question, il est difficile de trouver une réponse. "Ces termes ne sont pas définis, explique Franck Dumortier, chercheur au Cyber and Data Security Lab (CDSL) de la VUB et membre de la Ligue des droits humains, qui a déposé plusieurs recours devant le Conseil d’Etat. Le problème, c’est que personne ne peut expliquer comment ils sont faits : il y a des algorithmes qui tournent, mais qui ne sont pas transparents."

Or, la transparence au niveau des données qui circulent est au cœur du RGPD, le règlement général sur la protection des données de l’Union européenne, entré en vigueur en 2018.


►►► À lire aussi : Protection des données privées : pour Mathieu Michel (MR), "la confiance passe par la transparence"


La question des flux des données

Concrètement, les données collectées auprès des citoyens belges sont censées être stockées dans différents silos : lors d’un test positif, par exemple, l’identité de la personne, son adresse et son lieu de travail peuvent être collectés, tout comme la liste des personnes avec lesquelles elle a eu des contacts rapprochés, à des fins de traçage. Ces données parviennent à Sciensano. A l’inverse, lorsqu’une personne revient de zone rouge et doit observer une période de quarantaine, ses informations sont collectées par le SPF Santé Publique. Les deux silos sont, en théorie, étanches.

En théorie du moins. Car, selon Franck Dumortier, rien ne permet d’en être sûr, car l’arrêté du 12 janvier permet à la banque carrefour de la sécurité sociale (BCSS), de croiser ces données, sans qu’on puisse savoir lesquelles. "Le risque qu’on a, c’est qu’aucun chercheur ne peut dire quel flux existe d’un silo à l’autre", alerte-t-il. Les experts n’ont aucune vue sur les flux, notamment, explique-t-il. "Il est totalement impossible pour un citoyen de savoir quelle autorité dispose de quelle donnée sur qui et ce qu’elle en fait", renchérit Charlotte Derepper, codirectrice de l’APD, l’Autorité de protection des données.


►►► Lire aussi : La codirectrice de l’APD inquiète des "données sensibles sur les gens" récoltées par l’Etat pendant la crise du coronavirus


Selon elle, la crise du Covid-19 a été un "accélérateur" d’une tendance croissante à stocker des données personnelles, à les faire partager entre autorités publiques et à utiliser des techniques comme le "datamining" et le "datamatching", justement. De quoi permettre notamment de créer des profils de fraudeurs par exemple : dans le cas de la crise Covid-19, il s’agirait des personnes qui ne respectent pas la quarantaine, mais dans l’absolu, cela pourrait s’étendre à d’autres cas. De quoi faire craindre à certains, un profilage généralisé, comme en Chine.

Le Comité de sécurité de l’information a usurpé les compétences du Parlement

Toutes ces dispositions sont adoptées, non pas par des lois, mais par des arrêtés ministériels ou des délibérations d’un certain organe, le Comité pour la Sécurité de l’Information, créé en 2018, et composé entre autres de juristes, de médecins et d’experts de la fiscalité. Il est censé "assurer des missions spécifiques sur le plan de la sécurité de l’information" et donner son aval pour des transferts.

Problème : sa mission est aussi floue que "contraire au RGPD", explique Alexandra Jaspar. Le CSI aurait dû servir à garantir la sécurité des flux de données entre autorités. Au lieu de ça, il a pris le rôle d’un véritable législateur. "Il valide, permet des transferts, nous souffle-t-on. Il a usurpé les compétences du parlement."

Et l’APD dans tout ça ? C’est cette autorité qui devait contrôler le respect des règles en matière de protection des données en Belgique. "Il y a un problème de base, c’est que le rôle du CSI n’est pas suffisamment clair, estime le président de l’APD, David Stevens. Avec plus de clarté, tout le monde gagnerait."

Il réfute toutefois l’idée que le CSI permettrait d'’outrepasser l’APD, et rappelle que cette dernière a un pouvoir de veille et de sanction. A titre d’exemple, l’APD aurait permis d’éviter des mesures de surveillance comme le survol des jardins des Belges le soir du réveillon pour vérifier le nombre de personnes présentes. Une enquête a également été ouverte à propos d’établissements Horeca qui, l’an dernier, s’étaient servis de leur liste de contacts pour faire de la publicité directe.


►►► À lire aussi : Qui est Frank Robben, désigné "Big Brother de l’année"?


Pourtant, des sources au sein de l’APD sont catégoriques : "On ne nous demande pas notre avis sur les délibérations du CSI. Et ces délibérations ne sont pas des lois, donc pas attaquables devant la Cour constitutionnelle. On a créé une norme hybride, qui n’a pas d’existence légale et à qui on a pourtant donné une force contraignante."

Au sein de l’Autorité, plusieurs personnes ont déjà tiré la sonnette d’alarme sur le caractère illégal et inconstitutionnel du Comité. "Depuis des années, nous disons qu’il y a un problème, nous souffle-t-on. Mais ça a été enterré, parce que les gens derrière sont très puissants et que les délibérations du CSI sont écrites par quelqu’un qui siège à l’APD."

Certains reprochent d’ailleurs au président de l’APD de fermer les yeux. "Il y a une forme de complaisance, disent-ils. On se plie devant le pouvoir exécutif, parce qu’il a des accointances avec eux." Le président de l’APD, lui, estime que "tout est une question d’équilibre" et que pour le moment les risques sont théoriques. "La sécurité complète n’existe jamais", note-t-il.

Il y a un gros bloc parlementaire qui ne veut pas toucher au CSI

Le spécialiste de la cybersécurité Franck Dumortier le constate : "On sent une volonté de constamment utiliser ce comité, plutôt que de passer par des instances supérieures, il revient dans toutes les propositions de loi." L’argument invoqué est la flexibilité que permet un tel comité.

Il faut dire qu’en l’absence de loi, ou même d’un arrêté clair sur les possibilités d’utilisation des données personnelles, le risque existe. Mais quel risque, au juste ? La question est à poser aux responsables politiques, estime Franck Dumortier : "quand il y a un croisement de données, c’est à l’autorité de faire une analyse d’impact. Il faut lister et identifier les risques." Selon lui, l’Etat belge aurait dû faire une analyse d’impact, mais cela prend du temps… Et le temps est à l’urgence. Mais le RGPD ne dispense pas de l’analyse de risque dans une situation d’urgence.

La situation est d’autant plus délicate en pleine crise sanitaire : les informations manipulées sont parfois liées à l’état de santé d’une personne. Dans le cas de la vaccination, par exemple, une base de données a été créée, sans que l’on sache exactement ce que les médecins généralistes doivent y mettre… Ni qui peut y avoir accès. Selon une source au sein de l’APD, une délibération du Comité de Sécurité de l’Information aurait accordé notamment à l’Office national de l’enfance (ONE), le droit d’accéder à la base de données des personnes vaccinées. De quoi imaginer des discriminations à venir chez les parents ? La question mérite d’être posée.

Mais la Chambre, elle, accepterait-elle sans broncher de ne pas avoir la main sur ces sujets ? Selon certains, la situation pourrait arranger les députés de la majorité. "Il y a un gros bloc parlementaire qui ne veut pas toucher au CSI et laisser en place le président de l’APD qui soutient le CSI, explique-t-on. Il y en a trop que ça arrange." Une plainte a été déposée devant la Commission européenne vis-à-vis du CSI.

Le CSI a été contacté mais n’n'a pas souhaité répondre.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK