Coronavirus et tracing : le parcours de vos données personnelles (infographie)

Depuis le début de la crise du covid-19, les citoyens belges se sont vu demander, plus souvent qu'à l'ordinaire, de fournir leurs données personnelles : nom, localisation, informations sur leurs voyages récents...

Des données qui sont importantes pour le tracing, c'est à dire la surveillance de la circulation du virus dans le pays. Mais pour assurer le respect de la vie privée, ces données doivent être manipulées avec soin, pour ne pas permettre de pouvoir réidentifier des personnes lorsque cela n'est pas nécessaire, et pour éviter que des données privées circulent.

Alors, en Belgique, qui a accès à vos données et pourquoi ? Petit tour d'horizon des différents cas.

Cas n°1 : les tests positifs

Dans ce cas-ci, si vous avez téléchargé l'application Coronalert, celle-ci n'a pas accès à vos données personnelles pour autant. "Tout ce qui passe par le dispositif Coronalert est anonymisé", explique Axel Legay, consultant en informatique pour Sciensano, qui a travaillé sur le développement de l'application. En réalité, lorsque vous passez un test, Coronalert vous fournit un numéro à 17 chiffres, indépendant de vos coordonnées téléphoniques ou de votre identité. "C'est cela qui pose beaucoup de problèmes d'ailleurs : si les personnes retranscrivent mal le numéro, par exemple, le test n'aboutit pas", note Axel Legay.

Dans le cas du contact tracing manuel, la collecte des données est régie par un accord de coopération. En Wallonie, par exemple, c'est l'AVIQ (Agence wallonne pour une vie de qualité), l'organisme d'intérêt public de santé, qui gère le tracing.

Lorsqu'une personne est testée positive, elle devient "patient index" et est contactée par un call center. Elle doit alors lister les personnes avec lesquelles elle a été en contact en dehors de son cercle familial, son lieu de travail et l'identité des collègues avec lesquels elle a eu des contacts rapprochés, ainsi que les collectivités et rassemblements qu'elle a fréquentés.


►►► À lire aussi : La codirectrice de l'APD inquiète des "données sensibles sur les gens" récoltées par l'Etat pendant la crise du coronavirus


L'AVIQ nous a précisé que cette collecte se faisait dans le respect de l'article 9 de la loi du 30 juillet 2018, relative à la protection des personnes physiques et du traitement des données personnelles. Ainsi, seuls les membres des équipes de tracing ont accès aux données et ils sont soumis au secret professionnel. Parmi les données récoltées, il s'agit donc des coordonnées des personnes testées positives, des contacts et des données relatives à l'employeur et le lieu de travail.

Ces données, anonymisées, sont ensuite transférées à Sciensano, mais aussi, dans le cadre des foyers épidémiques, aux bourgmestres concernés afin d'adopter des mesures spécifiques. Dans tous les cas, selon l'arrêté du gouvernement wallon du 5 mai 2020, les données collectées par les centres de tracing sont effacées au plus tard 5 jours après la fin décrétée de la pandémie.

Selon nos informations, l'Organisme national de la sécurité sociale (ONSS) récupère également des données : l'identité de la personne et son lieu de travail, afin de vérifier que la mesure d'isolement est bien respectée, et que le citoyen testé positif ne s'est pas rendu à son travail.

Cas n°2 : les retours de zone rouge

Si désormais les voyages non-essentiels sont interdits depuis et vers la Belgique depuis fin janvier, le Passenger Locator Form (PLF) n'a toutefois pas disparu.

Ce formulaire doit être complété pour tout résident belge qui a passé plus de 48 heures à l'étranger et reste plus de 48 heures en Belgique. Parmi les données qui y sont collectées : le nom et le numéro de registre national, le pays de départ, la date ainsi que le numéro de vol ou de train.

Cette fois, ces données sont récoltées par le SPF Santé publique. Ce dernier nous a confirmé qu'elles étaient bien stockées, mais qu'elles étaient détruites au bout de 28 jours.

Comme pour les personnes testées positives, l'ONSS récupère également les données correspondant à l'identité de la personne et son statut de contact à haut risque, puisqu'elle rentre de zone rouge. Dès lors, elle peut croiser les informations afin de vérifier que la quarantaine est bien respectée et que la personne ne s'est pas rendue sur son lieu de travail.

Cas n°3 : la vaccination

Les personnes invitées à se faire vacciner passent par une plateforme intitulée Doclr, qui doit faire la sélection des personnes à convoquer en respectant la hiérarchisation prévue par la Task Force Vaccination, en fonction de l’âge, de la situation (maisons de repos), des professions (médicales, prioritaires ou non), et même de l’état de santé des citoyens (pathologie présentant des risques de comorbidité ou non).

Cela voudra donc dire que dans la base de données fournie à la task force vaccination figureront des données personnelles liées à la santé. "On ne nous dit pas quelles données, alertait justement lundi dernier Alexandra Jaspar, codirectrice de l'Autorité de protection des données (APD). On peut potentiellement exiger des médecins qu’ils injectent dans cette base de données tout le dossier médical de leur patient".

Selon elle, il ne serait pas nécessaire, et même dangereux, de transmettre toutes les données du patient, notamment celles qui sont liées à des problèmes de santé passés, et qui n'ont aucune incidence sur la vaccination. Mais selon Frank Robben, le Monsieur vaccin de la Belgique, le secret médical est bien gardé. "Il n’y a aucune donnée de santé dans la base de données, affirmait-il vendredi dernier au micro de Matin Première. Ce qu’il y a, c’est nom, prénom, adresse, sexe et date de naissance. Car les invitations se font sur base de l’âge. Le choix des gens vaccinés en premier lieu, c’est une décision du Conseil supérieur de la Santé."


►►►A lire aussi : Coronavirus : l’Absym saisit le Conseil d’Etat contre la stratégie de vaccination


En résumé, les comorbidités des patients ne seront pas connues. "On propose d’ailleurs, pour les personnes de 18 à 64 ans de mixer dans les invitations des personnes n’ayant pas de comorbidité", précise le patron de Smals, le bras informatique de l’Etat belge, qui gère le tracing, les bases de données de Sciensano, la vaccination ou encore le testing. D'après nos informations, les données du patient pourront être conservées jusqu'à son décès, afin de pouvoir surveiller des éventuels effets secondaires du vaccin.

Newsletter info

Recevez chaque matin l’essentiel de l'actualité.

OK