Le 'tracing' à la belge est-il illégal?
Dans une note révélée ce mardi par le quotidien L’Echo, l’Autorité de protection des données attribue une cote d'exclusion au projet de loi corollaire au 'contact tracing' qui sera soumis au vote des parlementaires ce mardi au Parlement. Selon les auteurs de la note, le tracing à la belge serait en contradiction flagrante avec la législation européenne.
Le contact tracing, qui a été -on s'en souvient- préféré au tracking, jugé trop intrusif, est devenu une réalité et les données collectées par le call center commencent à s'empiler. Mais qu'a prévu le législateur pour les données de santé récoltées auprès des patients suspects ou positifs au Covid-19? La réponse, simple en apparence, pose plusieurs questions fondamentales. Selon un Arrêté Royal datant du 4 mai, ces 'data' sensibles seront récoltées et traitées dans une banque de données gérée en solo par Sciensano. Cette banque de données contiendra également des informations concernant les personnes ayant été en contact avec ces patients 'suspects' ou 'positifs' ainsi que des données sur les médecins traitants et d’autres informations relevant de la vie privée.
Ce mardi, la proposition de loi du cabinet de Philippe De Backer encadrant ce dispositif doit être votée à la Chambre. Mais de nombreuses voix s'élèvent pour critiquer la méthode choisie : sécurité, anonymisation, infraction au RGPD, centralisation non justifiée, ... les critiques pleuvent. Il y a peu, 300 personnalités belges s'étaient fendues d'une lettre ouverte pour dire tout le mal qu'elles pensaient de ce texte.
Cette fois, c'est une note de l’Autorité de protection des données (APD) qui descend en flammes le dispositif légal envisagé. Et l’APD, ce n'est pas une officine tenue par quelques dangereux gauchistes excités : c’est l’organe de contrôle officiel de tout ce qui touche aux données en Belgique. Par la voix d'Alexandra Jaspar, présidente du centre de connaissances de l’APD, cet organisme de contrôle se dit à la fois inquiet et stupéfait du texte de loi qu’elle a pu consulter.
Premier hic selon l'APD, le non-respect du secret médical, puisque le texte prévoit que le médecin traitant sera obligé de communiquer les données de ses patients.
Deuxième point sensible, et non des moindres, la centralisation des 'datas' collectées dans une énorme base de données interpelle les experts en sécurité, fait hurler les organisations de défense des droits de l’homme et froncer les sourcils de l’Autorité de protection des données.
Cette centralisation est jugée dangereuse et tous estiment que plusieurs bases de données séparées auraient permis de réduire les risques des recoupements malveillants des données et d’identification des personnes.
"Ce texte organise une centralisation des données des personnes infectées, potentiellement infectées, des médecins, des contacts et tout ça chez Sciensano, alors que ce n’est pas nécessaire. On pourrait tout à fait avoir plusieurs bases et plusieurs opérateurs", écrit l'APD.
D'autant que Sciensano va également compiler des données qui semblent sans rapport avec le but initial comme les numéros de registre national, les numéros de la Banque-Carrefour des entreprises ou encore les numéros Inami des médecins.
"On va se retrouver avec une base de données gigantesque et Dieu sait ce qui sera fait avec ces informations", regrette l’Autorité de protection des données qui souligne que ces pratiques constituent une ingérence importante dans le droit à la protection des données à caractère personnel.
En outre, pour se conformer au RGPD, le règlement européen en matière de protection des données, il faut que la création d’une telle base de données soit argumentée et justifiée, ce que le texte ne fait pas. "Si la loi passe, à défaut de justification, elle est contraire au RGPD. À moins que les défenseurs de la loi sortent une justification de leur chapeau, elle sera illégale," martèle l'APD.
Outre ces problème de centralisation, l'autre sujet qui fâche est le gestionnaire lui-même: Sciensano sera en effet la mainmise complète sur ces données. Or, si l’usage immédiat des données est bien détaillé, c'est un très opaque comité "de sécurité et d’information" qui jugera seul de l'opportunité de transmettre les données de la population belge à l'un ou l'autre organisme tiers. Quelles données seront transmises? A qui et pourquoi ? C'est la bouteille à encre...
Pour le moment, sous le feu des critiques, tant Sciensano qu' Emmanuel André, chargé de la coordination du contact tracing au niveau fédéral, sont restés muets.
(LpR - Source : L'Eho/picture :Petr Macháček via Unsplash )