Pourquoi notre vie privée est en danger

“Dans le cadre de la lutte contre le coronavirus COVID-19, l'ONSS peut (...) collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au coronavirus COVID-19…” Si ces termes, repris dans un arrêté ministériel du 12 janvier 2021 vous semblent un peu flous, c’est normal. A nous aussi. Alors, nous avons demandé l’avis d’une experte en droit numérique. “Je vois ce terme datamining, et ça me fait peur” entame Elise Degrave, professeure de droit à l'UNamur. “Le data mining, c'est une procédure informatique qui est comparable à la boule de cristal. On va chercher des données disponibles à différents endroits de l'administration et on leur applique un algorithme afin de repérer, par exemple, des profils de fraudeurs potentiels. (...) Ma question est donc de savoir si le Gouvernement fédéral n’est pas en train de mettre en place des outils numériques tout puissants dont lui-même n’a pas perdu la maîtrise ?” 

Abonnez-vous à notre chaine Youtube pour accéder à tous nos décryptages et reportages:

La foire aux arrêtés ministériels

Elise Degrave est inquiète, et ce n’est pas la seule. De nombreux défenseurs du droit à la vie privée tirent la sonnette d’alarme. Les nombreux arrêtés ministériels, publiés depuis un an pour encadrer la lutte contre la pandémie de Covid-19, seraient trop flous et trop faiblement encadrés. “Cet arrêté du 12 janvier est le dernier d’une longue saga.” contextualise Franck Dumortier, chercheur au Cyber and Data security Lab de la VUB. “Il y a énormément d’instruments qui ont été adoptés et qui violent tous d’une manière ou d’une autre, le droit à la vie privée.” Un avis partagé par Elise Degrave qui pointe des dérives possibles dans le cadre actuel. “Aujourd’hui, toute institution exerçant une mission d’intérêt général peut accéder à la liste des personnes vaccinées. Mais c’est très large comme notion. Ca inclut par exemple la SNCB, qui pourrait décider que les personnes non vaccinées ne peuvent pas monter dans le train.”

Les défenseurs de la vie privée s’inquiètent d’autant plus que les organes censés encadrer la gestion de nos données personnelles semblent plus fragiles que jamais. En septembre, deux membres du comité de direction de l’Autorité de Protection des Données, l’équivalent du gendarme de notre vie privée, ont écrit au parlement pour alerter de potentiels conflits d’intérêts au sein même de l’organisation. Alexandra Jaspar, directrice du centre de connaissance de l’APD et auteure de cette lettre dénonce une Autorité de Protection des données qui ne serait plus suffisamment indépendante. “On devrait à un moment pouvoir exercer un contrôle, baliser et empêcher qu’on fasse n’importe quoi avec nos données. Au lieu de quoi, on se tait. On ferme les yeux. Pourquoi? Parce qu’il y a certains arrangements entre les personnes qui mettent en place ce système et certains membres de notre autorité qui sont tout à fait d’accord de fermer les yeux.” Le dossier est depuis traité par la commission justice du parlement, qui a récemment commandé un audit de l’APD à la Cour des comptes.

Une autorité de contrôle affaiblie

Dans le viseur des parlementaires, plusieurs membres de l’APD dont le mandat serait en incompatibilité légale. Ces membres exercent également d’autres fonctions publiques, ce qui est normalement interdit par la loi créant l’Autorité de Protection des Données. Un homme attire particulièrement l’attention, Frank Robben. “Frank Robben est un homme puissant,” préface Quentin Jardon, rédacteur en chef adjoint de Wilfried Magazine et auteur d’une récente enquête sur le personnage. “C’est un homme d’État. Il est devenu incontournable car il est à la tête de structures qui permettent la circulation fluide des données en Belgique”. C’est Frank Robben qui, dès son mémoire étudiant à la KU Leuven, a théorisé l’architecture informatique qui permet la bonne circulation de nos données personnelles. Un système révolutionnaire, qualifié de ‘visionnaire’ par de nombreux experts. Mais ce qui est reproché à Frank Robben, c’est d’être partout. Il dirige la Banque Carrefour de la Sécurité Sociale, la plateforme e-Health (chargée de gérer l’échange des données de santé), la SMALS (une asbl chargée de la mise en place technique de toutes ces structures) mais est également présent au sein de l’Autorité de Protection des Données. L’organe censé le contrôler. 

Les experts s'interrogent aussi de la proximité entre Frank Robben et David Stevens, l’actuel Président de l’APD. David Stevens a également été actif dans une Task Force organisée par le ministre Philippe De Backer afin de définir les modalités du tracing en Belgique. Il a participé à des réunions, et aidé à rédiger des textes dont il était lui-même, par après, chargé de juger la légalité. Alors le président de l’APD est-il encore suffisamment indépendant ? “Ce n’est pas à vous d’en décider” tranche l’intéressé. “Je réserve ma défense aux parlementaires. Je n’ai pas envie de rajouter de l’huile sur le feu (...) et je me sens parfaitement indépendant. Si ce n’était pas le cas, je partirais.”

Frank Robben, encore et toujours

Un dernier élément suscite beaucoup de crainte de la part des observateurs. L’existence du Comité de Sécurité de l’information. Un organe de contrôle supplémentaire, similaire à l’APD, mais qui ne se concentre que sur la gestion des données de santé et de sécurité sociale. Un organe dont la conception serait incompatible avec la philosophie du RGPD. Il contourne l’action du parlement, est composé de membres qui ne sont pas élus et l’APD n’a quasiment aucun droit de regard sur ses décisions. “A priori, l’idée de ce comité de sécurité de l’information est bonne.” contextualise Elise Degrave. “c'est à dire que dans un schéma où le Parlement fixe le cadre, détermine qui va accéder à quoi, pendant combien de temps, c'est intéressant d'avoir un comité supplémentaire qui va faire une couche de protection supplémentaire dans deux secteurs de notre vie qui sont assez délicats la Sécurité sociale et la santé. Mais dans les faits, ce n'est pas ce qui se passe.” Surtout qu’au sein de cet organe se trouve, une fois de plus, Frank Robben.

En pleine crise du Coronavirus, la gestion de nos données est cruciale. Car celles-ci peuvent être un outil très efficace dans la lutte contre la pandémie. D’ailleurs, selon les acteurs de terrain que nous avons contactés. Pour l’instant, nos données sont gérées de manière proportionnée avec pour seul but de lutter au mieux contre le virus. Mais l’urgence crée aussi un certain nombre d’outils qu’il faut encadrer, et manier avec précaution. On ne peut dès lors que regretter la fragilité de cette architecture censée contrôler les dérives. La conception du CSI, dénoncée depuis plusieurs années mais toujours pas réévaluée. La présence de mandataires publics, au sein de l’APD. La frilosité du parlement, qui après de nombreuses discussions à huis-clos, renvoie le débat au mois de juin. Tant d’éléments qui fragilisent le pacte de confiance entre État et citoyens. Un pacte pourtant indispensable, pour lutter efficacement contre la pandémie de coronavirus.

LN24