«Tracing: attention aux exploitations non désirables de nos données!»

«Tracing: attention aux exploitations non désirables de nos données!»
Belga

S’il est un ensemble de technologies que la crise sanitaire aura clairement mis à l’honneur, ce sont toutes celles se situant au carrefour du digital et des télécommunications. Nos vies professionnelles et nos vies académiques ont pu se poursuivre tant bien que mal sur les réseaux sociaux et les multiples applications de vidéoconférences. Les épidémiologistes, à l’aide du suivi des données de contamination et autres, et en en nourrissant des logiciels de modélisation épidémique, ont pu surveiller et surtout anticiper au plus près la courbe des infections et l’occupation des hôpitaux. C’est l’informatique qui, en partie, aura décidé de la date du démarrage, de la montée en puissance d’une semaine à l’autre, et des obligations comportementales, qui caractérisent le déconfinement en cours.

Surexploitation informatique

Mais ce sont justement ce déconfinement et son accompagnement digital qui se trouvent être la raison de cette carte blanche. Cette surexploitation informatique pose de nouveaux problèmes auxquels nous, informaticiens et juristes, dépassés et effrayés par la mise en place accélérée du traçage manuel et numérique, réalisée en l’absence d’un véritable débat démocratique, souhaitons sensibiliser le public.

Une prudence réjouissante

Tout d’abord, réjouissons-nous de la prudence des autorités par rapport au basculement dans une régulation technologique potentiellement très intrusive et invasive (l’application Bluetooth sur smartphone) dont l’essai grandeur nature apparaissait d’autant plus problématique que des doutes importants ont été émis sur l’efficacité et la sécurité d’une telle application. Le débat se poursuit cependant en France et en Europe. Restons sur nos gardes.

Une urgence à prendre en compte

Aussi, nous comprenons parfaitement l’urgence et l’enjeu du suivi des infectés à venir et de la possibilité de retracer les derniers contacts qu’ils ont eu, couplé à une capacité massive de tests virologiques pour supprimer les doutes et isoler les atteints. Il est évident qu’il s’agit là d’une démarche indispensable pour prévenir cette deuxième vague que de nombreux Cassandre médicaux nous prédisent pire encore que la première. Cela ne pourra se faire que par l’enregistrement dans une base de données et des personnes infectées et de leurs contacts les plus récents et les plus suivis.

Triple objectif

Or, nous apprenons ces jours-ci que le gouvernement a confié à Sciensano la mission de recueillir des données de santé des patients auprès de divers prestataires de soins ou organisations de santé ou de soins ainsi que leurs contacts les plus récents. L’objectif de cette collecte de données est triple. Premièrement, il s’agit de pouvoir rechercher les patients concernés et leurs contacts les plus récents et de les contacter. Ensuite, la collecte de données est nécessaire en vue d’études scientifiques, statistiques et/ou d’appui à la politique futures, après pseudonymisation. Finalement, des données sont transmises aux services d’inspection de la santé dans les régions dans le cadre d’initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses.

Une mine d’or pour les sociétés commerciales

Soyons en bien conscients, cette base de données que Sciensano est sur le point de constituer en répertoriant et les malades et la presque entièreté de leur graphe social, s’avère une mine d’or pour tous ceux qui souhaiteront y avoir accès : les assureurs, les GAFAM, les services de police. Il est bon de se rappeler pourtant de l’extraordinaire travail accompli ces dernières années par des juristes et des informaticiens, soucieux à l’encontre des dérives du Web et de ses atteintes au bien commun, afin d’ériger de nombreuses barrières de sûreté juridiques et technologiques contre toutes ces utilisations détournées de données abandonnées innocemment par les Internautes. On achète un livre sur Amazon, on poste un message sur Facebook, on publie une photo sur Snapchat, et on se retrouve à son insu victime d’une campagne électorale massive et mensongère pour un candidat à la présidence. Vos amis sur Facebook (votre graphe social) sont incités à se procurer le même produit que vous ou à voter comme vous. Un message sur Gmail relatant vos problèmes de santé et votre contrat d’assurance santé voit, mystérieusement, son tarif soudainement doubler, un autre témoignant de votre intérêt pour tel volet social et votre flux informationnel ne se réduit plus qu’à ce seul volet.

Un « fichage » en vue

Si les premières données que Sciensano a récoltées afin de superviser le cours de l’épidémie avaient par définition un caractère agrégé et intrinsèquement anonyme, ici il en va bien autrement. Il est question maintenant de cibler des personnes et de cibler leurs proches, leurs contacts, en substance de « ficher » ces personnes. Paradoxalement, l’application Bluetooth à laquelle nos gouvernants ont choisi de surseoir pour l’instant présente pourtant dans sa version décentralisée bien plus de garanties en matière de vie privée qu’une base de données centralisée accessible à de multiples enquêteurs, comme autant de brèches potentielles.

Aucune concertation

Nous regrettons vivement qu’alors que la Belgique recèle en son sein d’éminents experts juridiques en matière de vie privée (certains sont conseillers à la commission européenne), en informatique, en sécurisation des données, toutes les décisions récentes se soient prises à la hussarde, sans la moindre concertation et sans la prise d’avis de ces experts. Alors que nos gouvernants ont fait montre de modestie, de prudence et de raison, se résignant à la présence d’autorités académiques dans les domaines épidémique et virologique, ici, comme par magie, la prise en charge digitale, toute aussi délicate, ne bénéficie plus d’une même retenue. Nous avons tous été pris de vitesse par l’entremise d’un arrêté royal dans lequel Sciensano se voit confier cette mission. Or, cet arrêté n’a été rendu public que lundi après-midi, et son projet a été fortement critiqué par l’Autorité de protection des données et la Ligue des droits de l’homme pour avoir fourni des garanties insuffisantes contre les violations des droits de l’homme. Dans l’intervalle, le gouvernement espère naturaliser / mieux légitimer le suivi en présentant un projet de loi au Parlement pour garantir une base juridique plus permanente pour le suivi. L’idée serait que cette loi plus permanente soit ouverte au débat parlementaire dans les prochains jours. Bien sûr, d’ici là, le suivi aura déjà commencé et les données stockées dans la base de données ouverte à tout vent.

Un droit à la protection à la vie privée menacé

Comme le dit l’APD : la création d’une base de données centralisée, en particulier lorsque celle-ci reprend des données sensibles, provenant de sources diverses et qu’elle poursuit plusieurs finalités distinctes, constitue une ingérence importante dans le droit à la protection des données à caractère personnel. Toute ingérence dans le droit au respect de la protection des données à caractère personnel n’est admissible que si elle est nécessaire et proportionnée à l’objectif qu’elle poursuit et qu’elle est encadrée par une norme suffisamment claire et précise et dont l’application est prévisible pour les personnes concernées. L’Autorité a constaté, de manière générale, que l’arrêté ne répond pas suffisamment à l’exigence de clarté et de prévisibilité de la norme.

Une loi en préparation, et quelques objections

Il s’agit cependant d’un texte très provisoire qui sera remplacé par une loi, actuellement en préparation dès le 4 juin.

1. La loi devra préciser expressément les précautions particulières qui seront prises pour protéger, traiter et conserver les données personnelles et de santé très sensibles, couvertes par le secret médical, relatives aux personnes déclarées positives au covid et à leurs contacts ? D’autant qu’il s’agit de données très larges incluant le dossier médical global du patient.

2. Plus spécifiquement, la technique de la « pseudonymisation », qui consiste à remplacer le nom de chaque personne par un code unique, corrélé avec l’immatriculation des citoyens dans la banque carrefour de la Sécurité sociale offre-t-elle des garanties suffisantes à cet égard ? De nombreux experts nous ont mis en garde contre l’impossibilité d’anonymiser des données, quand il est clair que le graphe social, signature unique de chacun, permet très facilement de retrouver l’identité de ces personnes.

3. Pourquoi, s’agissant de mesures extraordinaires d’urgence pour enrayer la crise actuelle, autoriser Sciensano à conserver ces données pendant une durée de 30 ans suivant le décès des personnes enregistrées ? Même s’il s’agit de les exploiter à des fins statistiques et scientifiques, cette durée extraordinairement longue n’est-elle pas disproportionnée par rapport à l’objectif poursuivi ? Il faut la réduire et prévoir l’anonymisation effective des données beaucoup plus tôt et la suppression des graphes sociaux.

4. La loi devra préciser les garanties qui seront mises en place pour éviter le risque de « détournement d’usage » de cette base de données, qui découlera inévitablement de la création d’une telle infrastructure permanente.

5. Les personnes ainsi fichées à vie auront-elles accès à leur dossier ? Pourront-elles faire rectifier les erreurs et supprimer des informations inutiles préjudiciables ? Pourront-elles intenter un recours contre Sciensano ? Lequel ? L’arrêté est muet pour l’instant sur ces questions et ne pointe que vers de nombreux acteurs qui peuvent être considérés comme des processeurs de données aux fins du RGPD, ce qui ne fait que compliquer les choses. La loi devra préciser clairement tous ces points.

6. Enfin, le gouvernement n’a pas consulté le Conseil d’Etat sur l’arrêté. Celui-ci devra impérativement se prononcer sur l’avant-projet de loi et pourra ainsi l’éclairer et nous éclairer sur le respect de nos libertés et droits fondamentaux, ainsi que la conformité au droit international.

Une question qui mérite un débat parlementaire

Le temps urge et le choix ne nous est guère laissé. Nous nous trouvons dans l’obligation de soulever toutes ces préoccupations par l’entremise de cette carte blanche, questions sur la nécessité et la proportionnalité de ces mesures, mettant sur pied une infrastructure qui risque de rester en permanence et dont le lancement est entrepris sur la base d’un arrêté royal, dont on connaît l’extrême fragilité juridique à divers égards. Ces questions devraient être clarifiées par le gouvernement dans le cadre du débat parlementaire et du débat public afin que les citoyens et leurs représentants puissent être rassurés sur l’exploitation à leur insu et, le cas échéant, à leur détriment pendant le restant de leur vie, de données parmi les plus précieuses et les plus secrètes sur leur état de santé et leur vie sociale. Notre groupe reste à disposition pour aider, conseiller, accompagner toute initiative permettant aux citoyens de mieux adhérer et participer à ce fichage, ainsi que de les rassurer sur toutes les exploitations non désirables qui en tenteront plus d’un dans le monde d’après.

*Signataires : Les membres du Groupe de Travail de l’Académie royale de Belgique sur les applications informatiques anti-covid19 : Hugues Bersini (professeur en informatique de l’ULB), Benoit Frydman (professeur en Droit de l’ULB), Yves Poullet (professeur en Droit de l’Université de Namur), Françoise Tulkens (magistrate) ; Luc Chefneux (professeur invité à l’Université de Liège) ; Carine Doutrelepont (professeur en Droit de l’ULB), Jean-Jacques Quisquater (professeur en Informatique de l’UCL), Benoit Macq (professeur en Informatique de l’UCL).

Nathalie Smuha (chercheuse en droit et éthique de la KUL).

Cet article réservé aux abonnés
est en accès libre sur Le Soir+
Chargement
A la une
Tous

En direct

Le direct

     

    Cet article réservé aux abonnés est exceptionnellement en accès libre

    Abonnez-vous maintenant et accédez à l'ensemble des contenus numériques du Soir : les articles exclusifs, les dossiers, les archives, le journal numérique...

    7,5€/mois
    pendant 6 mois
    J'en profite
    Déjà abonné?Je me connecte
    Aussi en Cartes blanches