Protection de la vie privée : zizanie au sein de l’Autorité de protection des données
Deux directrices de l’autorité de protection des données (ADP), l’ex-Commission de la Vie privée, disent que celle-ci est devenue inopérante. Une sortie inquiétante au moment où la question de la protection de la vie privée est rendue particulièrement délicate par l’épidémie de coronavirus et ou le nouveau gouvernement affiche une ambition numérique d’une ampleur inédite.
Au moins trois des directeurs de L’ex-Commission de la Vie privée, soit David Stevens (secrétariat général), Charlotte Dereppe (Directrice du service de 1 ère ligne), Alexandra Jaspar (Directrice du centre de connaissances de l’APD) de l’organe qui a succédé à la Commission de la protection de la vie privée sont impliqués dans un conflit très médiatisé. Et il se trouve que les tensions internes vont bien plus loin qu’une simple divergence de vues ou d’un conflit interpersonnel, selon des documents ayant fait l’objet d’une fuite et auxquels Knack et Le Soir ont eu accès.
Dans une lettre ouverte au Parlement, deux directeurs de l’autorité de protection des données , L’ex-Commission de la Vie privée , demandent deux audits et la révocation d’un troisième directeur. Et ça juste au moment où la question de la protection de la vie est rendue particulièrement délicate par l’épidémie. Ainsi le 9 septembre, Jaspar et Dereppe ont envoyé une lettre de dix pages au président de la Chambre des représentants, aux présidents de groupe et aux membres de la commission de la justice. Ils sont « profondément préoccupés par la situation à laquelle nous assistons depuis 16 mois » et affirment que l’ADP « n’est plus en mesure de remplir sa mission de manière indépendante ». David Stevens exercerait ainsi une « forme de travail d’usure du comité de direction sur des questions visant à réduire les compétences de l’APD via des arrangements illégaux », de faire appel à des consultants externes pour « confirmer la légalité » de certaines de ses actions pourtant « remises en question par le comité de direction » peut-on lire dans Le Soir.
Dans la lettre, elles demandent également un audit externe des risques psychosociaux et des dépenses et proposent de « soumettre M. Stevens à la procédure de cessation de son mandat », précise le Knack. Ce dernier aurait, toujours selon la lettre ouverte, « accorder des traitements de faveur (à certaines personnes influentes NDLR). En outrepassant ses compétences « . Serait également problématique sa présence aux réunions de la commission de surveillance flamande et son implication dans un groupe de travail sur la Corona. Fin juin, la Ligue des Droits Humains trouvait elle aussi cette participation problématique.
David Stevens va rétorquer en écrivant lui aussi lettre au Parlement le 17 septembre où il nie toutes les allégations. Pour lui, il n’y a pas de début de preuve, et parle d' »accusations directes, graves et non fondées ». La question de savoir qui a raison sera tranchée le mercredi 21 octobre à huis clos avec la présence des cinq directeurs de l’institution.
La polémique du tracing
Quoi qu’il en soit la guéguerre interne au sommet de l’ADP n’est pas une bonne nouvelle puisque cela affaiblit de facto cet organe censé nous protéger d’intérêts qui n’aurait rien à voir avec la santé publique. Cette autorité, qui date de mai 2018, est en réalité la nouvelle mouture de l’ex-Commission de la vie privée. Celle-ci a cependant nettement plus de compétences et de pouvoirs, y compris en matière de sanctions. C’est cette même autorité qui est chargée de s’assurer si nos données personnelles sont bien protégées. Un point essentiel au moment où le tracing est l’un des axes centraux de la lutte contre l’épidémie. Car qui collecte nos données et à quelles fins, et donc le respect de la vie privée, est une question des plus sensibles.
Pour rappel, « l’arrêté royal du 26 juin a confirmé la création de cinq bases de données. Sciensano, l’Institut belge de santé publique, est le responsable de traitement pour trois d’entre elles. La première, la plus dense et la plus critiquée, centralise pas moins de 13 données à caractère personnel : nom, prénom, sexe, adresse, coordonnées téléphoniques, résultats de test… Mais aussi des informations que l’APD ou la Ligue des droits humains jugent superflues pour mener à bien le suivi de contacts, comme le numéro de registre national (Niss) ou le résultat d’un éventuel CT-Scan des patients hospitalisés, en l’occurrence un scanner des poumons. La seconde base de données vise à collecter, à partir de la première, des données pseudonymisées en vue de » mener des études scientifiques ou statistiques sur la lutte contre la propagation du coronavirus « . Ces données-là pourront être conservées pendant trente ans. La troisième est une résultante du traçage numérique, à savoir le journal des enregistrements de la future application, censé permettre le bon fonctionnement de cette dernière. Enfin, les deux dernières bases de données sont sous la responsabilité des autorités compétentes désignées par les Régions, pour que les centres de contact puissent effectuer le traçage individuel. Il s’agit de l’Agence pour une vie de qualité (Aviq) en Wallonie, les Services du Collège réuni (Cocom) dans la capitale, la Vlaams Agentschap Zorg en Gezondheid (Vazg) en Flandre et, enfin, le ministère de la Communauté germanophone. Ces deux bases de données reprennent une partie des informations de la base de données centralisée de Sciensano (la première) avec, d’une part, les coordonnées de personnes individuelles, et d’autre part celles des collectivités (hôpitaux, écoles, maisons de repos, prisons…) » peut-on lire dans l’enquête consacrée à ce sujet dans notre numéro de début juillet.
Lire aussi: Tracing: le grand foutoir (décodage)
En Europe, le Règlement général sur la protection des données (RGPD) encadre l’usage qui peut être fait de nos données à caractère personnel, moyennant le respect d’une série de balises. Parmi celles-ci, les données concernées peuvent uniquement être collectées pour des » finalités déterminées, explicites et légitimes « . Elles ne peuvent en outre être traitées ultérieurement de manière incompatible avec ces finalités – la recherche scientifique n’étant pas jugée incompatible à cet égard. Un autre principe concerne la minimisation des données : leur collecte doit également être » adéquate, pertinente et limitée à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées « .
Et c’est là qu’intervient l’APD puisque c’est elle qui va statuer sur ce point. Elle n’a va d’ailleurs pas manqué de relever d’innombrables remarques sur ce sujet ces derniers mois. Ainsi, elle fera remarquer qu’il pourrait être dangereux de collecter le numéro de registre national par exemple. « Il constitue une boîte de Pandore : par recoupement, il peut mener à des dérives quant à l’usage de ces données personnelles à d’autres fins » a ainsi précisé l’ADP.
Le tracing actuel aura par contre obtenu son accord. « Les données collectées dans le cadre du tracing sont traitées d’une manière strictement confidentielle et sécurisée. Nous avons pris conseil auprès de l’Autorité de protection des données et reçu l’autorisation du Comité de sécurité de l’information » précise cependant l’institut de santé Sciensano. « Seuls les services concernés recevront les données nécessaires à l’accomplissement de leur mission. Par exemple, l’agent d’appel ne reçoit que les coordonnées nécessaires pour effectuer l’enquête de suivi des contacts avec le patient index ou avec la personne de contact ».
Lire aussi:
Il n’empêche, qu’au moment où notre nouveau gouvernement, notamment à travers un secrétaire d’état au numérique, s’engage dans une numérisation à large échelle( non seulement pour lutter contre le virus, mais aussi contre la fraude fiscale et la bureaucratie administrative), il est essentiel que l’indépendance et le bon fonctionnement de cet organe soient assurés si l’on veut éviter de nouveaux projets potentiellement liberticides. Et qu’il ne s’agit donc pas ici simplement d’une petite bagarre de clocher.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici