Traçage: l’Autorité de protection des données démonte le nouvel arrêté royal

Pour tracer les personnes infectées et endiguer la propagation de l’épidémie, une banque de données centralisée sera mise sur pied. Selon la directrice de l’APD, l’arrêté royal qui institue cette mesure “laisse trop de portes ouvertes”.

La future banque de données permettant le traçage des personnes infectées n’offre pas les garanties suffisantes en matière de protection de la vie privée, estime-t-on du côté de l’Autorité de protection des données (APD). Pour Alexandra Jaspar, membre du comité de direction de l’APD, l’arrêté royal instituant cette base de données est “peu clair et mal rédigé.” “Le texte a été bricolé dans l’urgence. Il laisse trop de portes ouvertes”, tranche Alexandra Jaspar.

Le centre de connaissances de l’APD a rédigé l’avis très critique rendu sur le projet de texte, qui a finalement été publié au Moniteur belge le 4 mai dernier. Sa directrice regrette qu’il n’ait été pris en compte que de manière “cosmétique” : “On parle de données très sensibles, des données personnelles et médicales, qui vont être collectées dans une banque de données centralisée, souligne Alexandra Jaspar. Ces données seront partagées entre différents services de l’Etat et rendues accessibles à 2.000 personnes non identifiées, qui travailleront pour les call-centers régionaux. Je rappelle que tout traitement de données personnelles doit être strictement encadré et justifié. Ici, le texte est trop vague et flou pour pouvoir offrir ces garanties. C’est un dangereux précédent. Le gouvernement a agi dans l’urgence, sans s’entourer des bons conseils.”

Selon Alexandra Jaspar, le débat concernant le traçage s’est trop focalisé sur les applications numériques. La question de la banque de données a par contre été escamotée : “Le projet d’arrêté royal concernant les applications numériques a certains défauts, mais globalement le système est bien construit et bien encadré. Ce texte fera l’objet d’un débat parlementaire, ce qui est une bonne chose. Ce n’est pas le cas de l’arrêté royal instituant la banque de données, qui a été adopté dans l’urgence, sans même demander l’avis du Conseil d’Etat”, pointe Alexandra Jaspar.

Tracer l’itinéraire des malades

Le gouvernement justifie cette procédure express par le fait que ce texte est “d’une importance vitale pour la santé publique” et qu’il est adopté “pour éviter une résurgence de l’épidémie Covid-19”. Un des enjeux du déconfinement progressif est de contenir la dissémination du virus dans la population. Pour y parvenir, un système de traçage sera mis en place. Le but est d’identifier les personnes malades et porteuses du virus, de retracer leurs déplacements et de prévenir les personnes avec lesquelles elles ont été en contact rapproché.

Dans le cadre de ce traçage, qui sera opéré par des call-centers (2.000 “enquêteurs sanitaires” vont être embauchés), des données personnelles seront collectées. Celles-ci seront stockées dans une banque de données centralisée gérée par l’institution publique Sciensano. L’arrêté royal prévoit un effacement des données personnelles avant le 9 juin prochain. Une date à confirmer ou à infirmer en fonction de l’évolution de l’épidémie.

Quelles données sont collectées ?

Les données collectées sont particulièrement sensibles. Outre des données de contact et d’identification (nom, numéro de téléphone, adresse, numéro de sécurité sociale…), il s’agit de données médicales, qui font l’objet d’une protection encore plus stricte par le RGPD, le règlement européen pour la protection des données. Le texte prévoit trois cas de figure.

• Pour les patients hospitalisés et diagnostiqués COVID-19, seront notamment collectés : le type, la date, le numéro d’échantillon et le résultat du test, ainsi que le service hospitalier qui l’a réalisé.

• Pour les patients suspectés d’être infectés, seront notamment collectés : le type, la date, le numéro d’échantillon et le résultat du test, l’identité du médecin qui a prescrit le test, ainsi que le “diagnostic présumé en l’absence de test”. Dans son avis, l’Autorité de protection des données estime que l’enregistrement de ces données est “disproportionné au regard de l’objectif poursuivi, parce que cela aboutirait à l’enregistrement d’une importante quantité de données concernant des personnes qui ne sont pas infectées par le COVID-19”.

• Pour les personnes en contact avec les personnes infectées, seront notamment collectées, outre des données d’identification : le risque faible ou élevé de contamination, le lien avec le patient et avec les personnes avec lesquelles il a été en contact.

S’y ajouteront les données collectées par les futures applications numériques de traçage. On parle là de données de “contact”. Les applications devraient fournir une liste de personnes avec lesquelles le malade est entré en contact rapproché.

On comprend aisément qu’il s’agit bien d’une “méga” banque de données, qui concernera rapidement des centaines de milliers de personnes.

Qui collecte les données ?

Les données sont collectées par les médecins, les hôpitaux, les laboratoires et les centres de contact, les fameux call-centers qui s’occuperont du traçage.

Qui a accès aux données ?

Les données pseudonymisées seront transmises aux épidémiologistes associés au “Covid-19 Assessment Group” à des fins d’études scientifiques et statistiques.

Bien sûr, les centres de contact pourront avoir accès à la banque de données, pour leur permettre de faire leur boulot de “traçage” de l’infection. Les 2.000 personnes qui travailleront prochainement dans les call center seront des scientifiques, des médecins, probablement des employés des mutuelles… Tout n’est pas encore fixé. “Je rappelle qu’il y aura une collecte de données médicales. Ce sont des données couvertes par le secret professionnel. L’arrêté ne précise pas si leur utilisation se fera sous l’autorité d’un professionnel de la santé”, pointe Alexandra Jaspar. La directrice estime que le texte ne prévoit pas suffisamment de garanties à ce sujet.

Les données pourront également être transmises aux services d’inspection de la santé des régions. “La liste exacte des instances auxquelles les données pourront être transmises n’est pas mentionnée, regrette Alexandra Jaspar (APD). Il n’est pas non plus précisé ce que ces instances pourront faire avec ces données. Cela illustre à quel point l’arrêté royal est flou et manque de précision.”