La Une - Le Soir Plus

https://plus.lesoir.be

  • En 2022, chaque Belge saura ce que l’Etat sait sur lui
    https://plus.lesoir.be/362464/article/2021-03-23/en-2022-chaque-belge-saura-ce-que-letat-sait-sur-lui

    A la Chambre, Mathieu Michel annoncera une « opération transparence » sur les données privées. Objectif : rétablir la confiance, ébranlée par de nombreux dossiers.

    La démocratie va-t-elle reprendre la main sur la manière dont l’Etat gère les données à caractère personnel des Belges, un dossier dont seuls les technocrates semblaient détenir les clés ? L’ordre du jour de la Commission Justice de ce mercredi ouvre en tout cas une belle fenêtre d’opportunités. Au menu, plusieurs dossiers révélés par Le Soir et qui, visiblement, auront permis de faire bouger les lignes, en attendant de remettre l’église du milieu du village. On y parlera donc d’Oasis (cet outil permettant de profiler les citoyens et les entreprises potentiellement coupables de fraude sociale, Le Soir du 23 mars), des données médicales stockées en Russie via l’entreprise américaine 3M (Le Soir du 22 mars). Et de « Putting data at the center », ce projet flou porté par le SPF Bosa/Appui et Stratégie (et non par la Smals, comme nous l’avions erronément écrit le 10 mars).

    Le 11 mars, à la Chambre, le secrétaire d’Etat à la digitalisation et à la protection de la vie privée, Mathieu Michel, annonçait la suspension immédiate du projet « PDC », rebaptisé entre-temps « Smart Data Services ». Comme il s’était engagé à le faire, il revient ce mercredi, en Commission Justice pour en éclaircir les contours. Entre ses mains, un rapport de 18 pages rédigé par Ben Smeets, directeur général du SPF Stratégie et Appui (également présent à la Commission). Le Soir a pu consulter ce document.

    Une idée de consultant

    Que dit-il ? Pour résumer, trois choses. Un : Bosa « ne croise pas de données » mais « se charge uniquement du transport sécurisé de données dans le cadre d’une demande justifiée d’un service public (…). Deux : « Nous sommes convaincus que nous avons abordé ce projet dans le respect du cadre légal et des procédures applicables, et que nous avons correctement identifié et traité les risques associés au projet. » Trois : l’objectif vise à créer « une vue centralisée de toutes les données détenues par les pouvoirs publics, de sorte que les utilisateurs n’aient plus besoin de savoir vers quelle source se tourner pour leurs besoins spécifiques en matière de données (…). »

    Mais encore… « Personne ne conteste l’idée de départ », relève un des juristes que nous avons consultés. « Mais le problème, c’est qu’avec les mêmes phrases, vous pouvez tout aussi bien réaliser de belles choses que des horreurs ». Les problèmes de fond demeurent. « On ne sait pas de quelles données précises on parle ni la finalité de traitement ». « Le rapport évoque un potentiel commercial, mais avec qui, comment ? Il parle d’opportunités en termes d’intelligence artificielle, mais dans quel but ? ». Le sentiment que l’administration aurait mis la charrue avant les bœufs est unanimement partagé : « Comme si elle avait voulu démontrer que quelque chose était techniquement possible sans avoir vidé les aspects juridiques et éthiques, ni même avoir concrètement identifié un usage et des utilisateurs ». En l’occurrence, comme le révèle le rapport : l’idée de « Putting data at the center » est née, en 2017, dans la tête d’un consultant externe en mission à Bosa.

    Opération « transparence »

    Et si la commission Justice de ce mercredi marquait un tournant ? C’est en tout cas le pari de Mathieu Michel. « Il faut rendre la donnée au citoyen » nous dit-il. « La première étape, c’est de rétablir la confiance en restaurant une transparence absolue. » En clair, mettre fin au « circulez y a rien à voir ». Comment ? En permettant aux Belges d’avoir une idée précise des données à caractère personnel dont l’Etat dispose et l’usage qui en est fait. Un travail de titan. « Mais qui est déjà sur les rails », expliquera le secrétaire d’Etat ce mercredi au parlement. La mise à disposition de l’outil est promise pour « début 2022 », avec, en guise d’inspiration, l’Estonie, pionnière en matière d’interactions numériques entre citoyens et administrations (« e-Estonia »).

    Première étape : dresser l’inventaire de l’ensemble des données à caractère personnel des citoyens et de leur utilisation par les institutions fédérales. Ce cadastre centralisé n’existe pas aujourd’hui, ou n’est en tout cas pas visible. Deuxième étape : permettre au citoyen d’y accéder, en permanence, via un portail Web et une application smartphone. « On peut imaginer, par après, d’aller encore plus loin en permettant au citoyen d’identifier quelle administration a cherché à accéder à ses données, quand et pour quelles raisons. Voire, vous opposer à la consultation et porter plainte ». Tout ceci n’élude pas la question de fond, insiste néanmoins Mathieu Michel, à savoir : le débat, au parlement, sur la réutilisation des données par les autorités publiques.

    Court-circuitage démocratique

    « La transparence, seule, ne résoudra pas tout le problème », compte d’ailleurs rappeler avec insistance François De Smet (Défi) lors de ses interpellations en Commission. « Le vrai souci c’est le court-circuitage démocratique. Avant de réutiliser des données il faut un débat parlementaire, une loi et un contrôle de l’Autorité de protection des données. »

    A ce titre, deux zones d’ombre entachent toujours la gestion des données personnelles par l’Etat : les conflits d’intérêts qui minent l’indépendance de l’APD et le Comité de sécurité de l’information (CSI), cet ovni institutionnel qui s’est substitué au parlement pour les autorisations de traitement. Pour rappel, ces deux points noirs ont valu à la Belgique d’être le premier pays européen à faire l’objet d’une mise en garde de la commission pour non-respect du RGPD.

    #Smals #consentement #données #fraude #santé #APD-Belgique

    ##santé

  • Elise Degrave : « Aujourd’hui, l’Etat profile déjà les Belges » - Le Soir Plus
    https://plus.lesoir.be/362211/article/2021-03-22/elise-degrave-aujourdhui-letat-profile-deja-les-belges

    Plusieurs événements d’actualité ont ravivé le spectre du « profilage » des Belges par l’Etat. A tort ? Mais non, ce projet existe déjà. Et de manière très aboutie. L’outil s’appelle « Oasis » (NDLR, Organisation Anti-fraude des Services d’inspection sociale). Il est fonctionnel depuis 2005. Il s’agit d’une centralisation de nombreuses données de l’ONSS, de l’Onem, du SPF Sécurité sociale et du SPF Emploi. Non seulement on centralise, mais on applique des algorithmes qui vont tenter de deviner le comportement des citoyens et trouver des noms de personnes suspectées de fraude sociale. C’est du profilage. En réalité, cette base de données n’est créée par aucune loi, ni arrêté royal. Et on ne trouve que très peu d’informations à son propos, si ce n’est par hasard en farfouillant dans des documents de (...)

    #belgique #droit #informatique #surveillance

    • La centralisation des données, notamment à des fins de surveillance, n’est pas qu’un fantasme. Pour la professeure à l’UNamur, l’outil Oasis, utilisé depuis 2005 pour la lutte contre la fraude sociale, témoigne de cette tendance insidieuse. Et dangereuse pour la démocratie.

      A la faveur de la crise sanitaire, le citoyen a pris conscience de la masse énorme de données à caractère personnel gérées par l’Etat. Et, dans la foulée, des libertés qu’il prend parfois avec la vie privée des citoyens. Ceux-ci découvrent aussi l’existence de projets de croisement de données portés par les administrations, mais sans gage de transparence sur leur finalité, le respect du cadre légal ou le contrôle politique. Elise Degrave, professeure à la Faculté de droit de l’UNamur, y perçoit la confirmation d’une tendance lourde : la centralisation des données, antichambre d’un Etat « automatisé », où le débat démocratique aurait été confisqué par les technocrates.

      Plusieurs événements d’actualité ont ravivé le spectre du « profilage » des Belges par l’Etat. A tort ?

      Mais non, ce projet existe déjà. Et de manière très aboutie. L’outil s’appelle « Oasis » (NDLR, Organisation Anti-fraude des Services d’inspection sociale). Il est fonctionnel depuis 2005. Il s’agit d’une centralisation de nombreuses données de l’ONSS, de l’Onem, du SPF Sécurité sociale et du SPF Emploi. Non seulement on centralise, mais on applique des algorithmes qui vont tenter de deviner le comportement des citoyens et trouver des noms de personnes suspectées de fraude sociale. C’est du profilage.

      En réalité, cette base de données n’est créée par aucune loi, ni arrêté royal. Et on ne trouve que très peu d’informations à son propos, si ce n’est par hasard en farfouillant dans des documents de l’administration. Rien sur le site de la Banque Carrefour de la Sécurité sociale (BCSS), ni de l’ONSS. Quand on s’adresse à l’administration, on ne reçoit que quelques informations parcellaires, mais jamais la copie des algorithmes, ni même d’information claire à leur sujet.

      On apprend par contre, documents publics à l’appui, qu’Oasis va être prochainement remplacé par le projet « Big data Analytics Platform ». Le marché, estimé à 6,75 millions d’euros, a été attribué par la Smals (NDLR, l’ASBL informatique de l’Etat) à Deloitte Consulting & Advisory le 9 juillet 2019.

      Ces algorithmes sont censés traduire le droit pour rendre la lutte contre la fraude plus efficace. N’est-ce pas légitime ?

      Oui, mais il faut avoir des outils dont on peut contrôler le fonctionnement. Ce qui n’est pas le cas. On ne sait ni par qui, ni comment ils ont été faits. Or, on sait qu’un algorithme ne peut traduire parfaitement des règles de droit. Il peut être biaisé, discriminatoire. Sans contrôle, les algorithmes peuvent renforcer les inégalités, surtout lorsqu’ils s’appliquent à l’échelle d’une population.

      Par ailleurs, il y a une masse énorme de données. Donc, on ne peut pas exclure qu’il n’y a pas d’erreurs. Ni les employeurs ni les travailleurs ne peuvent vérifier ces données. On ne sait même pas que ça existe. Ce qui amène parfois à cibler des gens qui n’ont rien fait. Et celui qui est visé par un algorithme ne va pas comprendre pourquoi il se retrouve dans le radar. Les inspecteurs eux-mêmes disent ne pas comprendre pourquoi ils vont contrôler tel employeur plutôt qu’un autre. On n’a pas la main sur l’outil. Il y a juste un ordinateur qui vous crache des noms.

      Le conseil des ministres restreint vient d’adopter un avant-projet de loi, révélé par La Libre, consacrant la fin des visites du fisc au domicile des contribuables. Tout passerait par le « cloud ».

      Cela pourrait être encore pire. On risque de donner tout pouvoir à l’outil informatique. Or, sans garanties spécifiques pour les personnes concernées, une décision prise entièrement par ordinateur est contraire au Règlement général sur la protection des données.

      L’informatique peut-elle biaiser le fonctionnement de l’administration ?

      C’est ce qui s’est passé au Pays-Bas avec le système Syri, semblable à Oasis. Des études ont démontré que l’outil ciblait en priorité les quartiers de pauvres et de migrants. Les algorithmes étaient biaisés. Le Rapporteur spécial des Nations unies sur l’extrême pauvreté et les droits de l’homme, le professeur Philip Alston, épinglait que si cela se passait dans la vraie vie, on verrait une masse d’inspecteurs venir systématiquement frapper aux portes dans ce quartier, et jamais ailleurs. Là on verrait qu’il y a un problème. Tandis qu’ici, avec un outil informatique dont on ne sait même pas qu’il existe, on ne voit rien. Et on ne sait même pas qu’il y a un souci. Ce qui pose un problème de démocratie, parce qu’il n’y a même plus de possibilités de dialoguer avec l’administration.

  • Vie privée : l’étrange parcours de vos données de santé
    https://plus.lesoir.be/362026/article/2021-03-22/vie-privee-letrange-parcours-de-vos-donnees-de-sante

    Vous pensiez que vos données médicales vous attendaient tranquillement à l’hôpital. En réalité, elles transitent par une filiale d’un conglomérat américain, sont stockées en Allemagne et traitées en Russie. Ce qui n’est pas sans risque pour votre vie privée. Une enquête menée par « Le Soir » et le magazine « Médor ».

    Depuis plusieurs années, vos données d’hospitalisation s’échappent en Russie. C’est là-bas que les bureaux d’un sous-traitant de la société 3M sont installés. Un transfert d’informations sensibles – des données de santé, entre autres – qui n’est actuellement pas organisé en respectant l’ensemble des garanties essentielles prévues par le RGPD (règlement général sur la protection des données, NDLR).

    En cause ? Des contrats « passoires » d’un point de vue vie privée passés entre 3M Belgium et des hôpitaux du pays, qui portent sur la fourniture d’un logiciel informatique, dont les prestataires de soins de santé peuvent difficilement se passer. Le Soir et Médor ont pu les consulter.

    Quasi tous les patients concernés

    Premier problème : les risques pèsent sur les données médicales d’un nombre considérable de patients belges.

    Le recours au logiciel développé par l’Américain 3M et commercialisé par sa filiale belge est en effet quasi généralisé en Belgique, conséquence, entre autres, d’un vieux monopole instauré par le biais de nos autorités (lire ci-dessous). « Une majorité des hôpitaux l’utilisent », confient responsables d’hôpitaux et différentes fédérations du secteur, sans jamais communiquer de chiffres précis. La dépendance à ce programme est une réalité, particulièrement pour les structures de plus petites tailles. « Personne n’arrive aux chevilles de 3M. L’outil est essentiel », précise, notamment (beaucoup d’intervenants ont préféré s’exprimer « off the record » sur ce dossier), André le Maire, directeur de l’information chez Vivalia, intercommunale des soins de santé en province du Luxembourg.

    Son objectif ? Épauler les hôpitaux dans leur gestion financière. En Belgique, l’État les finance par type d’hospitalisation et de patients. Des budgets découpés en « blocs » et calculés sur base de moyennes nationales mesurées dans tous les établissements du pays, avec un décalage de plusieurs années dans le temps (le budget 2020 est ainsi délivré sur base des moyennes de 2018 et 2017).

    Le logiciel de « benchmark » offre aux clients de 3M, les hôpitaux, contre rémunération bien sûr, la possibilité de se comparer entre eux, presque en temps réel, via une analyse poussée et segmentée. En d’autres mots, si un hôpital constate que, pour une certaine pathologie et un certain type d’hospitalisation, ses médecins engagent des moyens trop importants par rapport à ceux de leurs pairs (durée de séjour trop longue, trop d’actes fournis…), il peut, directement, rectifier le tir. « En résumé, on peut tout de suite aller voir les médecins pour leur dire : vous consommez trop dans votre pratique médicale, les autres sont plus performants que vous », simplifie le directeur d’une clinique wallonne.

    Des contrats « brouillon »

    Deuxième problème : les contrats conclus entre 3M et les hôpitaux sont peu respectueux des garanties prévues par le RGPD.

    Un gros hôpital du pays, qui ne souhaite pas être cité, explique « avoir refusé d’utiliser l’outil de “benchmarking” en raison d’un procédé trop risqué appliqué à des données sensibles. Notamment parce que les contrats engagent pour trois années et parce que les données sont traitées en Russie ».

    Nous avons confronté les documents en notre possession à l’expertise de deux juristes spécialisés. Jean-Marc Van Gyseghem, d’abord, chercheur en droit à l’UNamur, avocat spécialisé dans la protection des données personnelles, associé chez Rawling Giles qui avait, à la demande d’une partie prenante, déjà réalisé une analyse complète de leur compatibilité avec le droit européen. Franck Dumortier, ensuite, chercheur Cyber and Data Security LAB à la VUB et consultant en sécurité des données, qui a examiné les termes à notre demande. Les deux confirment que l’hôpital en question a raison de se méfier.

    Rappelons-le : les données manipulées, parce qu’elles concernent votre dossier de santé, sont précieuses. Il s’agit du résumé minimum hospitalier (qui contient un numéro de patient et de séjour propre à l’hôpital, les actes infirmiers et médicaux invasifs posés, vos pathologies…) et des données de facturation (données de contact du patient, médicaments prescrits, date d’entrée et de sortie…). Il est impératif – le secret médical n’existe pas pour rien – que ces informations ne tombent pas dans les mains de n’importe qui, qu’elles ne soient pas un jour utilisées « contre vous », à des fins discriminantes notamment. C’est pourquoi, elles sont classées « sensibles » par le RGPD. Leurs traitement, stockage et transfert sont encadrés par des règles complexes et strictes.

    Dans le cas qui nous occupe, le parcours effectué par les données est le suivant : un premier transfert est opéré depuis les hôpitaux vers 3M Belgium, un deuxième transfert est ensuite effectué depuis 3M Belgium vers Smart Analytics, présentée comme une entreprise américaine mais dont les bureaux sont localisés en Russie. Les données sont « physiquement » stockées en Europe (en Allemagne, précisément) mais « elles sont rendues accessibles en Russie, ce qui constitue bien un transfert au sens du RGPD », précise Franck Dumortier.

    Pour de tels voyages, les principes de sécurité informatique recommandent de « gommer » le lien entre les données et l’identité des patients. Soit via l’anonymisation : le procédé est alors irréversible, le lien brisé et tout problème en termes de vie privée est, de facto, écarté. Soit via la pseudonymisation : le procédé est réversible, plus ou moins difficilement, selon les mesures de sécurité déployées (niveau de cryptage, etc.). Les contrats 3M ne mentionnent jamais l’anonymisation. « Sur base des documents que j’ai pu voir, les données personnelles qui seront manipulées ne sont pas listées avec suffisamment de précision. En outre, le contrat rend la pseudonymisation obligatoire uniquement pour le transfert vers Smart Analytics, pas pour le stockage des données en Allemagne, c’est un problème. Par ailleurs, en ce qui concerne la transmission des données vers la Russie, le type et le niveau de pseudonymisation ne sont pas assez détaillés dans le contrat », poursuit Franck Dumortier.

    Traduction ? En cas de hacking, il est impossible de savoir si les données stockées en Allemagne seront suffisamment protégées pour empêcher la ré-identification des patients. En ce qui concerne les données transmises vers la Russie, nul ne sait avec précision sur quelles données « pseudonymisées » les autorités russes pourraient mettre la main. En tous les cas : 3M ne s’engage pas contractuellement à apporter un niveau de protection suffisant à ces égards.
    Un transfert sans balise vers la Russie

    Comme 3M sous-traite la maintenance et la mise à jour des bases de données à une entreprise logée dans un pays tiers, le principe d’adéquation s’impose : le niveau de protection des données sensibles dans le pays tiers en question doit être le même qu’en Europe. Aux États-Unis comme en Russie, ce n’est pas le cas. Le transfert peut cependant avoir lieu dans le cadre de contrats (une clause contractuelle type dans le jargon ou « CCT », NDLR) passés entre entreprises.

    3M a bien signé une CCT avec Smart Analytics USA mais il n’y a pas de trace à notre connaissance d’un tel document avec ses bureaux russes. « Un arrêt récent de la Cour de Justice européenne remet en outre fortement en question la validité des CCT », explique Jean-Marc Van Gyseghem. « À la lecture du contrat, il nous semble très difficile de considérer ce transfert vers la Russie comme conforme au RGPD. La responsabilité des hôpitaux pourrait clairement être engagée en cas de problème ».

    Parmi, les complications possibles, comme mentionné plus haut, les services secrets russes pourraient très bien contraindre Smart Analytics à leur communiquer les données pseudonymisées…

    « En décidant de traiter les données en Russie, 3M définit pourtant un moyen essentiel de leur traitement. Il s’agit là d’un indice parmi d’autres, selon moi, pour considérer que l’entreprise est “coresponsable”. Or le contrat la considère comme un simple sous-traitant », poursuit Franck Dumortier.

    Une telle requalification des rôles impliquerait beaucoup plus de transparence pour le patient. Une base légale, soit son consentement éclairé ou un texte de loi qui encadrerait le traitement de ses données par l’entreprise privée, premièrement. Une obligation pour 3M de décrire au patient quelles données sont utilisées, par qui et dans quel but, ensuite. Enfin, 3M verrait sa responsabilité accrue en cas de violation constatée.

    Actuellement, c’est l’hôpital qui encaissera quasi toutes les conséquences d’une mauvaise utilisation des données. Avec, notamment, des sanctions financières à la clé, potentiellement très lourdes. « Si une plainte est déposée par un patient et reçue, ce qui n’est pas le cas à ma connaissance, une annulation du contrat est possible, comme une amende qui peut aller jusqu’à 20 millions d’euros », expose Hielke Hijmans, président de la chambre contentieuse de l’Autorité de protection des données.
    Le patient, grand perdant ?

    Au sein des hôpitaux, le sujet est visiblement sensible ces derniers mois. On nous confirme cependant partout – même si le contrat ne le prévoit pas obligatoirement – que « les données sont cryptées avant envoi à 3M ». Via un logiciel fourni par l’entreprise mais développé par un tiers. Des sources internes, notamment actives dans les départements de sécurité informatique, disent avoir, malgré la présence de cet outil, des inquiétudes, qu’elles ont parfois partagées avec leur direction : « 3M nous a juste dit qu’il s’agit d’un programme de cryptage. En fait, l’hôpital encode les données et le logiciel tourne mais on n’en sait pas plus. Aucune information n’est communiquée. Les contrats ne sont jamais lus à fond, une question de priorités » ; « On peut imaginer que 3M pourrait facilement décrypter les données »…

    Le dossier a donc atterri sur le bureau des fédérations du secteur. Du côté francophone, Santhea (fédération des hôpitaux publics) n’a pas donné suite à nos questions ; l’Unessa (fédération des hôpitaux privés) dit ne pas pouvoir se prononcer sur « des contrats auxquels elle n’a pas accès ». Du côté néerlandophone, Zorgnet Icuro, fédération des hôpitaux flamands, a récemment commandé une analyse de la conformité des contrats au RGPD au cabinet EY. Ce document ne nous a pas été communiqué. « Sur le plan technique, EY n’a relevé aucun problème ni danger concernant le traitement des données et la sécurité des systèmes (…). Les changements suggérés ne signifient pas que les contrats actuels enfreignent le RGPD, ils clarifient plutôt le rôle et les responsabilités de chaque partie », assure un responsable. 3M se serait engagé à effectuer les modifications recommandées lors du renouvellement des contrats.

    Deux détails qui n’en sont pas : la problématique d’une sous-sous-traitance à la Russie ne semble pas avoir été abordée par l’audit d’EY, qui confirme également le fait que 3M n’est qu’un sous-traitant. L’entreprise n’aurait donc à l’avenir pas grand-chose de plus à justifier au patient inquiet du sort réservé à sa vie privée.

    Ce dernier serait-il le grand perdant ? « Il a droit, en tout cas, à plus de transparence. Actuellement, il ne sait rien. Mais je pense que les hôpitaux sont également victimes de la position quasi-monopolistique de 3M », estime Jean-Marc Van Gyseghem.

    Les explications de 3M Belgium

    Amandine Cloot et A.C.

    « 3M Belgium reconnaît la sensibilité des données relatives à la santé qui lui sont confiées et a pris des mesures significatives pour assurer la protection des droits et libertés des personnes concernées lorsque leurs données sont traitées par nos produits. Nous collaborons étroitement avec les hôpitaux belges pour leur fournir les garanties requises par le RGPD, dans nos contrats en tant que sous-traitant, pour leur compte. 3M Belgium propose à ses clients des contrats de traitement des données, ainsi qu’une description de nos garanties pour permettre aux délégués à la protection des données des hôpitaux d’évaluer leur pertinence. Toutes les données traitées sont codées, pseudonymisées et cryptées avant d’être soumises aux serveurs. Ni 3M Belgium, ni ses sous-traitants, n’ont la capacité d’identifier les patients individuels dans l’ensemble des données fournies par les hôpitaux. En outre, toutes les données sont physiquement stockées dans l’Espace Économique Européen. Nous utilisons un sous-traitant, dénommé Smart Analytics, qui a fait l’objet d’une évaluation complète et qui s’est engagé contractuellement à fournir le même niveau de protection que celui que 3M Belgium offre aux hôpitaux belges. Le personnel de Smart Analytics étant situé en Russie, des clauses contractuelles types (CCT) sont conclues afin de garantir aux personnes concernées l’opposabilité de leurs droits et des recours juridiques effectifs. »

    #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #santé (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##3M

  • Sommes-nous protégés des algorithmes qu’utilisent les administrations publiques ?
    https://plus.lesoir.be/361332/article/2021-03-20/la-chronique-carta-academica-sommes-nous-proteges-des-algorithmes-quutil

    Lorsque les algorithmes sont sur le devant de la scène médiatique, la lumière est souvent mise sur les conséquences de leur utilisation par le secteur privé, à l’image de ceux qui régissent les réseaux sociaux. Pourtant, parmi les algorithmes impactant nos vies, la généralisation des algorithmes d’aide à la prise de décision dans le secteur public passe trop souvent inaperçue : lutte contre la fraude fiscale, attribution d’allocations sociales, police prédictive, admissions à l’université, diagnostic (...)

    #algorithme #données #fiscalité #biais #discrimination #pauvreté #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR)

    ##fiscalité ##pauvreté ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_

  • Vie privée : Mathieu Michel annonce l’arrêt du projet de croisement des données des Belges
    https://plus.lesoir.be/360296/article/2021-03-11/vie-privee-mathieu-michel-annonce-larret-du-projet-de-croisement-des-don

    Questionné à la Chambre, le secrétaire d’Etat à la Protection de la vie privée déclare qu’il a mis fin au projet « Putting data at the center », visant à croiser et regrouper les différentes données personnelles des citoyens et entreprises. C’est à une batterie de cinq questions, toutes posées par des députés francophones, que le secrétaire d’Etat à la digitalisation et à la Protection de la vie privée a dû répondre, jeudi au Parlement, après nos révélations sur l’étonnant projet « Putting data at the center », (...)

    #Smals #données #fiscalité #justice #profiling #santé

    ##fiscalité ##santé

  • Vie privée : un projet sans contrôle de l’Etat pour « profiler » les Belges
    https://plus.lesoir.be/359783/article/2021-03-10/vie-privee-un-projet-sans-controle-de-letat-pour-profiler-les-belges

    En roue libre, sans aucun mandat ni contrôle politique, l’ASBL informatique de l’Etat, pilotée par Frank Robben, a finalisé un outil permettant d’avoir une « vision globale sur les citoyens et les entreprises ». Comment ? En croisant toutes les données (santé, sociales, fiscales, justice…). Son nom : « Putting Data at the Center ». « Une horreur », affirment nos sources.

    Au départ, c’est une idée toute bête. De celles que l’on jette à la volée à la machine à café. Sans réellement en mesurer l’énormité. Persuadés, tel Mark Twain, que parce que c’est impossible, ils pourront le faire. A la Smals, l’ASBL qui assure la quasi-totalité des prestations informatiques de l’Etat, en tout cas, on y croit. Ils ont les ressources, les compétences, des bases de données (celles de la sécurité sociale et de la santé). Et si elle ne les gère pas directement, pas grave : on en discute au sein du GCloud, l’organe de pouvoir de la Smals où se retrouvent tous les directeurs informatiques des services publics fédéraux (SPF Finances, Economie…). A sa tête, l’incontournable et omnipotent Frank Robben, patron de la Smals qui occupe tous les étages de l’écosystème de traitement de données de l’Etat, de l’écriture des lois à leur mise en œuvre, en passant par le contrôle.

    Pour amorcer leur idée, il manque néanmoins un élément majeur : un mandat. Soit une loi, votée par le parlement, passage obligatoire. Pas grave. Le projet, baptisé « Putting data at the center » (PDC), va bel et bien démarrer en 2018. En mode sous-marin. Sans aucun contrôle politique, au nez et à la barbe de l’Autorité de protection des données, du gouvernement. « Un fantasme de techniciens en roue libre », « au mépris de toutes les procédures régissant le respect de la vie privée ». En réalité, comme nous l’ont confirmé plusieurs sources : un « monstre », façonné dans une usine à gaz dont la complexité est devenue l’ultime gage de survie.

    Tabou suprême

    « Putting data at the center », c’est le tabou suprême dans un Etat démocratique, celui d’un immense carrefour où se croisent toutes les bases de données ultra-sensibles, traditionnellement décentralisées et inviolables. Sur les documents qu’un vent favorable a déposés au Soir, on y perçoit aussi les logos de partenaires privés (la KBC, Fostplus…), présentés comme des « clients potentiels », lesquels auraient affiché une marque d’intérêt, mais comme le montre la feuille de route, sans aller au-delà du stade de l’analyse du projet. « Mais l’idée », confirme une de nos sources, « consiste bel et bien à ouvrir les données du public et de les mélanger au privé. Ça, c’est du délire total. A côté de ça, Facebook, c’est mieux. »

    Selon la méthode de conception de projets informatiques dite « Agile », PDC en serait au « sprint 21.3 ». Pour faire court, cela signifie la 21e livraison du produit, sur lequel planchent 6 consultants de la Smals. Soit, selon une source, un budget engagé de l’ordre de 1 à 2 millions d’euros. Plusieurs pilotes sont d’ores et déjà ficelés. L’outil est bel et bien là : une porte d’accès unique, un « grand carrefour » où se croisent ce que l’on appelle les « sources authentiques », soit les bases de données certifiées par l’Etat sur l’ensemble des événements de la vie des Belges. On y voit donc le registre national (nom, adresse, date de naissance, composition de la famille…) côtoyer des données que légalement on ne peut en aucun cas mixer (santé, sécurité sociale, fiscales, justice, économiques…). Le tout, ouvert à des partenaires privés. Avec une dose « d’open data », soit des jeux de données anonymisées « à réinjecter au sein de l’écosystème digital de la société » (entreprises, académiques…).Retour ligne automatique
    Croisements de données infinis

    A la lecture des documents en notre possession, rien n’indique la moindre finalité malveillante. Mais, relève immédiatement ce haut fonctionnaire touché à son corps défendant par ce projet, il y a là, très clairement, de quoi permettre de « profiler » chaque Belge, en fonction de son « pedigree » social, fiscal, juridique, économique, sanitaire… ? « Sur cette base, tous les croisements imaginables deviennent techniquement possibles. Imaginez par exemple le fait de mélanger les données des Finances et de la Justice… Un scandale ».

    L’idée du respect de la vie privée traverse bel et bien le projet. Mais elle ne le charpente pas, selon le principe cardinal de « privacy by design » (qui vise à intégrer la vie privée dès la conception). « Comme toujours, cela part d’une bonne intention, mais ce n’est pas à la Smals de le décider », poursuit cet observateur. « L’idée de croiser certaines données pour simplifier la vie des gens, pourquoi pas. Sauf qu’ici on balaie tous les principes ».

    A commencer par celui qui indique que seul le citoyen peut accéder à ses propres données, dont il est propriétaire. Si des « sources authentiques » (soit les bases de données certifiées, comme le registre national, le dossier médical, la sécu…) souhaitent se « parler », elles ne peuvent le faire qu’à deux conditions sacrées, par ailleurs bétonnées par le Règlement général sur la protection des données (RGPD) : la finalité légale (y être autorisé par une loi dans un but précis). Et la proportionnalité (ne consulter que les données que l’on a le droit de voir). Or, le but du projet est clair : offrir « une vision globale sur les citoyens et les entreprises ». Ce qui, relève immédiatement Elise Degrave, professeur de droit à l’UNamur et experte en e-gouvernement, « n’est pas une finalité valable ». « Avoir une vue pour quoi ? Pour contrôler les profils incohérents ? Pour faire des statistiques ? Non, il faut une fin en soi. »

    Et pour cela, il faut une loi, un texte législatif qui, en amont, encadre le projet. Or, ici, la Smals n’est mandatée ni par le parlement, ni par un ministre, ni par le moindre document administratif probant. « Et comme ce projet n’a pas d’encadrement légal, il devient quasi impossible de l’attaquer, le condamner ou d’introduire un recours », poursuit la chercheuse. « Si on ne sait pas, notamment grâce à la presse ou des taupes dans l’administration, que l’outil a été créé, on ne sait pas qu’il existe. Or, il n’y a pas de demande à la base. Bref, ce projet est à ce point hors-la-loi qu’il n’y a même pas de loi. Et comme il n’y a pas de cadre légal, il est même impossible de le contrôler. C’est inadmissible. »Retour ligne automatique
    « Le politique a perdu pied »

    « Le système de décentralisation des bases de données, imaginé par Frank Robben, a toujours bien fonctionné », concède notre source à l’administration. « Mais depuis 3 ou 4 ans, on observe une réelle tentation chez les responsables informatiques de l’administration d’échanger ces données entre eux. C’est là que le flou est apparu. Le politique a absolument perdu pied dans les discussions, purement techniques. Donc, ce sont les techniciens qui ont pris le pouvoir. “Putting data at the center”, c’est une idée de techniciens. Il n’y a pas un seul client. Pas un seul SPF qui dit “j’ai envie de ça”. Cela a été imaginé sans sponsoring, sans business case. Mais on l’a quand même développé… En se disant, on trouvera bien un intérêt. »

    Les auteurs des documents sur l’état d’avancement du projet relèvent d’ailleurs eux-mêmes les « risques » liés au dossier. Comme le fait que, « pour des raisons de sécurité, le Registre national n’offrira pas (facilement) le contenu de ses sources authentiques ». On y lit aussi quelques pépins majeurs qui, aux yeux des juristes consultés, relèvent du dérapage incontrôlé. Le fait, par exemple, que, à tout le moins dans l’environnement de test, la plupart des données « ne sont pas toujours anonymisées ». « Et peuvent être vues par des personnes non autorisées ». La réponse validée par le comité de pilotage : « Accepter le risque pour les testeurs »… Dont acte.

    Ce n’est pas tout. Sur le fait que « Putting data at the center » ne respecte ni la loi ni le RGPD, la réponse au risque est renversante : « La solution nécessite un amendement de la loi ». En clair, traduisent en chœur nos différentes sources : « A charge pour Frank Robben de changer les règles en faisant valider le dossier par le Comité de sécurité de l’information ». Le CSI, c’est cet ovni institutionnel, échappant aux radars du parlement, du Conseil d’Etat, de l’Autorité de protection des données ou des tribunaux, et dont Frank Robben rédige lui-même les « délibérations ». Traduisez : les autorisations de traitement de données par les autorités publiques, comme il l’a fait dans le cadre de la crise covid pour le testing, le tracing et la vaccination, en contradiction flagrante avec le RGPD.

    Visiblement refroidis par l’accueil un peu frileux de leur projet (notamment par certains SPF), leurs auteurs conseillent aussi d’en changer le nom. « Putting data at the center » (« Centralisez les données ») n’était peut-être finalement pas la meilleure des idées…

    A noter que la Smals n’a pas donné suite à notre demande d’interview de Frak Robben. Et que son porte-parole nous dit ne « pas être au courant » du projet « Putting data at the center ».

    « Ils chipotent dans les bases de données de la Sûreté de l’Etat »

    Philippe Laloux

    Pour travailler avec la Smals, en gros la plus grosse boîte informatique du pays (près de 2.000 collaborateurs, 350 millions de chiffre d’affaires), il ne faut pas être « client » mais bien « membre ». La nuance est de taille. Son statut d’ASBL publique lui permet en effet de profiter de quelques précieuses exceptions à la loi sur les marchés publics (en clair, de s’en passer). Ou encore de se soustraire à la TVA de 21 %. « Ce qui, en soi, constitue une bonne utilisation des deniers publics », tempère un observateur.

    Elle n’est pas la seule. En Wallonie, une intercommunale, Imio, propose ses services « open source » à des tas de communes qui n’ont pas les moyens de s’offrir un marché avec des géants de la tech. A Bruxelles, c’est le Cirb qui offre son support IT aux autorités et organismes publics. Mais, à la différence de la Smals, eux dépendent directement de l’administration. Ce qui offre une transparence totale sur leurs activités. L’ASBL dirigée par Frank Robben ne dépend de personne. Pour avoir des informations sur un contrat en particulier, c’est galère. Invariablement, sous couvert… de la protection des données, on vous renvoie vers le membre en question.

    La Smals, aujourd’hui, en compte près de 300. Parmi eux : l’Autorité de protection des données, où Frank Robben siège par ailleurs comme membre externe du Centre de connaissances. C’est donc sans appel d’offres que l’APD s’est tournée vers la Smals en 2020 pour refaire son site Web, qui présente l’institution et permet de télécharger un formulaire de plainte. Montant de la facture : 120.236 euros.

    Il arrive aussi que la Smals ne soit pas la bienvenue. C’est le cas à la Sûreté de l’Etat où, apprend Le Soir, le fait de voir défiler 70 consultants dans les couloirs et « chipoter dans les bases de données » a provoqué un début de scandale au sein des services de renseignement. C’est à la faveur de l’arrivée du nouveau comité de direction que la Smals avait été mandatée, en 2017, pour renouveler l’informatique de la Sûreté. Un dossier particulier délicat. « Mais pendant 3 ou 4 mois, ils ont travaillé sans aucune habilitation de sécurité », alors que ce type de donnée est classé « très secret ».

    L’idée de la Smals consiste à « tout centraliser », raconte notre source. Tout ? « Oui, permettre d’accéder à toutes les données, y compris fiscales, de justice, concernant une personne reprise dans la base de la Sûreté ». Soit un million de Belges. « Et puis le chantier a dérapé. » Budgété au départ à 7 millions, il en est, 4 ans plus tard, à près de 23 millions, « soit la totalité du supplément de budget accordé au lendemain des attentats. « C’est pire que la gare de Mons. Et à part un nouveau layout pour le site, on utilise les mêmes outils archaïques. Où est parti cet argent ? », s’interrogent ces agents de la Sûreté. A noter que les services de renseignement se sont opposés fermement à la demande de la Smals d’emporter le disque dur contenant la base de données… « Ce qui aurait posé un problème majeur de sécurité. »

    #données #fiscalité #profiling #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##fiscalité ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##Smals

  • Hundreds of European parliamentarians protest Israel’s ’de facto annexation’
    Judy Maltz | Feb. 28, 2021 | 7:50 PM | Haaretz.com
    https://www.haaretz.com/israel-news/.premium-hundreds-of-european-parliamentarians-protest-israel-s-de-facto-an

    Lawmakers representing 22 European countries say Israeli policy in the West Bank is ’eliminating the possibility of a two-state solution and entrenching a one-state reality of unequal rights and perpetual conflict’

    Nearly 450 European parliamentarians have signed a letter sent Sunday evening to foreign ministers in Europe, urging them to take advantage of the change in U.S. administration to renew pressure on Israel to stop its “de facto annexation” of the West Bank.

    Among the signatories are lawmakers from 22 European countries, as well as members of the European Union parliament. The vast majority are affiliated with parties on the center-left, such as the Social Democrats and the Greens. More than a third of the signatories are from the United Kingdom, most of them members of the Labour party.

    “The beginning of the Biden presidency provides a much-needed opportunity to address the Israeli-Palestinians conflict with renewed effort,” they wrote.

    “The previous U.S. administration left the conflict farther away from peace than ever. The Biden administration presents a chance to correct course and creates greater space for meaningful European engagement and leadership. In parallel, the announcement of Palestinian elections to be held in the coming months offers an opportunity for Palestinian political renewal and reunification.”

    The parliamentarians note in their letter that the normalization agreements recently signed with the United Arab Emirates and Bahrain caused the Israeli government to suspend its plans to annex large chunks of the West Bank. “However, developments on the ground clearly point to a reality of rapidly progressing de facto annexation, especially through accelerated settlement expansion and demolitions of Palestinian structures,” they wrote.

    Such policies, they noted, “are eliminating the possibility of a two-state solution and entrenching a one-state reality of unequal rights and perpetual conflict. For this to be the future of the region is both unacceptable and strategically unviable.”

    In their letter, the parliamentarians call on European nations to work together with the Biden administrations and the relevant parties in the Middle East to prevent “unilateral action” – a reference to Israeli policy in the West Bank – that could undermine the chances of achieving peace.

    “In this effort, the EU and European countries should demonstrate their leadership, making use of their range of available of policy tools,” they wrote.

    The letter was the initiative of four prominent Israeli peace activists: Zehava Galon, the former chairwoman of Meretz; Avrum Burg, a former head of the Jewish Agency and former Labor MK and Knesset speaker; Naomi Chazan, the former president of the New Israel Fund and Michael Ben-Yair, a former attorney general.

    #IsraelUE

    • 442 élus européens demandent un engagement concret de l’UE pour mettre fin à l’extension des colonies israéliennes en territoire palestinien
      Par B.L. | Le 1/03/2021
      https://plus.lesoir.be/357999/article/2021-03-01/442-elus-europeens-demandent-un-engagement-concret-de-lue-pour-mettre-fi

      (...) Le temps est venu pour l’Europe d’aller de l’avant après avoir maintenu la ligne. L’Europe doit travailler avec l’administration Biden, les pays de la région et les parties sur le terrain pour empêcher que les actions unilatérales ne compromettent la possibilité de paix, pour faire progresser les droits et la sécurité de tous les peuples sous le contrôle effectif d’Israël, et pour créer les conditions qui rendent possible un futur accord négocié. Dans cet effort, l’UE devrait faire preuve de leadership, en utilisant la gamme d’outils politiques dont elle dispose. Il est essentiel de prendre des mesures concrètes pour assurer une différenciation effective entre Israël et les colonies, conformément à la résolution 2334 du Conseil de sécurité des Nations unies. Le soutien diplomatique, juridique et financier aux communautés palestiniennes menacées de démolition et de déplacement forcé devrait être augmenté. Un soutien européen actif à la réconciliation palestinienne et aux élections sur l’ensemble du territoire palestinien est vital, y inclus comme base pour mettre fin à l’isolement de Gaza. (...)

  • Comment l’Etat joue avec les données des Belges
    https://plus.lesoir.be/354396/article/2021-02-11/comment-letat-joue-avec-les-donnees-des-belges

    Le traitement de nos données à caractère personnel par les autorités publiques est devenu une usine à gaz opaque. Enquête dans les rouages de la gestion de notre vie privée.

    Tracing, testing, données de vaccination et de localisation… Jamais notre vie privée n’aura été à ce point sous pression. La confiance de la population se heurte à des montagnes de questions : quelles sont les données dont dispose l’Etat, dans quel but, sont-elles en sécurité, seront-elles détruites ou réutilisées à des fins de surveillance ou de profilage, qui contrôle… Pour y voir clair, Le Soir a mené l’enquête. Et tenté, patiemment, de reconstituer toute la chaîne de traitement de nos données à caractère personnel par les autorités publiques. Depuis l’écriture des lois jusqu’à la mise en place des bases de données centralisées et la conception des algorithmes, en passant par le contrôle de l’Autorité de protection des données.

    Le résultat est sidérant. Il s’apparente à une usine à gaz tentaculaire où tous les garde-fous démocratiques pour garantir le respect de notre vie privée ont été écornés, ignorés, voire neutralisés. Une somme inouïe d’incompétences, d’erreurs de jugement, de fautes de gouvernance, de précipitation, d’interprétations tarabiscotées de règlements ou d’omniscience mégalomaniaque a conduit à échafauder, depuis les années 90, un système de gestion de la vie privée qui pourrait valoir à la Belgique une condamnation pour violation au RGPD. Le genre de claque que la Commission réserve plutôt aux Gafa.Retour ligne automatique
    Un « ovni institutionnel »

    On y découvre, en vrac, un ovni institutionnel, le Comité de sécurité de l’information (CSI) qui s’est substitué au Parlement pour autoriser les administrations à traiter nos données, en dehors des radars du Conseil d’Etat et de l’Autorité de protection des données (APD). On aperçoit un chien de garde de la vie privée, l’APD, qui aurait oublié de mordre les autorités. Tétanisé par de sérieux conflits d’intérêts (mettant en péril sa sacro-sainte indépendance), il est aussi « bypassé » par le CSI ou les autorités flamandes qui ne le consultent plus. Dans la salle des machines, on retrouve la Smals, véritable « filiale informatique » de l’Etat à qui l’on confie, sans marchés publics transparents, les bases de données centralisées ou les algorithmes de traitement de nos données.

    Le Parlement, plutôt muet sur la question (surtout sur les bancs flamands), a décidé de faire « auditer » l’APD par la Cour des comptes. Mais aujourd’hui, des juristes, des experts en protection des données ou en intelligence artificielle, des lanceurs d’alerte, des membres de la société civile (comme Amnesty ou la Ligue des droits humains) tirent la sonnette d’alarme. Le problème dépasse de loin la seule Autorité et touche l’ensemble des rouages de la démocratie. Aux dépens de libertés fondamentales que le Belge risque bien de devoir mettre pour longtemps entre parenthèses.

    #données #COVID-19 #santé #surveillance #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Vaccination : 2.000 médecins dénoncent les dérives graves en matière de vie privée
    https://plus.lesoir.be/356318/article/2021-02-20/vaccination-2000-medecins-denoncent-les-derives-graves-en-matiere-de-vie

    Dans une lettre ouverte adressée aux autorités, la coopérative Medispring refuse « de participer à l’assujettissement des médecins, bafoués dans leur relation thérapeutique avec leur patient ». Elle demande, en urgence, d’ajuster le système afin de respecter le secret médical, la vie privée et le consentement libre et éclairé des patients.

    Après s’être concentrée sur les groupes dits « prioritaires », la campagne de vaccination rentrera d’ici peu dans sa phase 1B, celle qui concerne les plus de 65 ans et les personnes « à risques », présentant des comorbidités. La stratégie des autorités a été décrite dans un accord de coopération entre le fédéral et les entités fédérées. Dès lors que des données à caractère sensible doivent être échangées entre les différentes couches de la lasagne institutionnelle, une « supra-loi » de ce type est en effet nécessaire. Ce fut le cas pour le « tracing ». C’est le cas, à présent, pour la vaccination. Et à chaque fois, les dispositions en matière de respect de la vie privée ont été lourdement critiquées.

    Dans le cas des vaccins, il est ainsi prévu que l’Etat centralise et croise les données fournies d’une part par les médecins (soit des listes de patients à risques établies sur base de leur dossier médical) et d’autre part par les mutuelles (sur base des données de prescription). En clair, l’Etat pourrait donc être en mesure de déterminer si une personne a connu, ou connaît, des soucis de santé. Ces informations, strictement protégées par le secret médical, permettraient aux autorités d’envoyer les convocations pour les prises de rendez-vous.

    Dans son avis, révélé dans Le Soir, l’Autorité de protection des données (APD) parle d’un « chèque en blanc » pour les autorités. « L’Etat doit tenir compte de cet avis et revoir sa copie », confiait Pierre Cools, secrétaire général adjoint de la mutualité Solidaris. De son côté, Thomas Orban, président de la Société scientifique de médecine générale prévenait : « Si le texte n’est pas compatible avec le RGPD, je ne transmettrai rien du tout ».

    Cette fois, c’est Medispring, une société coopérative qui développe un Dossier Médical Informatisé utilisé par plus de 2.000 soignants, qui monte au créneau. Dans une lettre ouverte adressée à Alexandre De Croo, Frank Vandenbroucke, aux présidents de partis…, ils tirent à boulets sur la stratégie mise en place. « Nous ne pouvons accepter de participer à cet assujettissement des médecins, bafoués dans leur relation thérapeutique avec leur patient », écrivent-ils. « Les médecins ont ici un devoir moral pour préserver la confiance des patients et les données qu’ils partagent avec eux. Nous demandons que les autorités ajustent en urgence le système qu’elles imposent à la profession médicale afin de respecter le secret médical, la vie privée et le consentement libre et éclairé des patients. »
    #COVID-19 #données #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #consentement (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Accueil Médias
    Protection des données : la Smals, le bras armé informatique de l’Etat, Le soir belge, Philippe Laloux

    https://plus.lesoir.be/354297/article/2021-02-10/protection-des-donnees-la-smals-le-bras-arme-informatique-de-letat

    Pour mettre en place ses banques de données centralisées (chez Sciensano) et ses outils algorithomiques, l’Etat peut compter sur une ASBL, dirigée par Frank Robben. A l’abri des appels d’offres.

    Quelqu’un.e qui passe à travers le paywall ?

  • Données de vaccination : un « chèque en blanc » pour l’Etat
    https://plus.lesoir.be/354908/article/2021-02-12/donnees-de-vaccination-un-cheque-en-blanc-pour-letat

    L’Autorité de protection des données a rendu un avis très critique sur le texte organisant le traitement des données personnelles de vaccination. Il y voit un chèque en blanc pour l’Etat.

    C’est un avis très attendu par les médecins généralistes et les mutuelles qui vient de tomber. L’Autorité de protection des données (APD) s’est prononcée sur le projet d’accord de coopération entre l’Etat fédéral et les entités fédérées concernant le traitement des données relatives aux vaccinations.

    Afin de pouvoir lancer les invitations à la vaccination et organiser cette campagne, il est en effet nécessaire de recourir à des données personnelles. Il faut enregistrer les personnes devant se faire vacciner pour éviter qu’elles ne le soient deux fois, pour s’assurer du respect du schéma des deux doses, pour effectuer un suivi (pharmacovigilance)… Une base de données contenant les coordonnées de personnes avec des comorbidités (diabète, hypertension…) doit aussi être constituée afin de pouvoir les inviter prioritairement. Cela suppose des échanges de données personnelles très sensibles (car touchant la santé) avec ceux en charge de leur identification : les mutuelles et les médecins. Ces derniers demandent des garanties en matière de respect de la vie privée. Pas sûr que l’avis de l’APD les rassure. Il est plutôt critique, allant même jusqu’à parler de « chèque en blanc » pour les autorités. Le gendarme du respect de la vie privée demande à l’Etat de revoir sa copie.

    Les critiques fondamentales déjà émises à la mi-décembre par l’APD lors de l’examen du cadre juridique préalable à l’accord se retrouvent en grande partie dans cet avis. La première concerne la définition des finalités visées par les enregistrements et traitements de données. Celles-ci doivent être précisées très clairement afin d’éviter que les données ne puissent être réutilisées par la suite pour d’autres motifs. L’APD constate un progrès par rapport à la première version mais note que certaines de ces finalités restent « toujours très larges et peu précises », comme « la prestation de soins de santé et de traitements », « le suivi et la surveillance post-autorisation », « l’information et la sensibilisation des utilisateurs de soins ». « Cela ne permet pas aux personnes concernées d’avoir une idée claire des traitements qui seront effectués ou des circonstances dans lesquelles ils ont été autorisés », peut-on lire. Alexandra Jaspar, directrice du centre de connaissance de l’APD, va plus loin, parlant d’une « porte ouverte permettant aux autorités de faire autre chose de ces données ».Retour ligne automatique
    Un destinataire très vague

    L’autre grande critique porte sur la liste des destinataires, c’est-à-dire les instances auxquelles les données à caractère personnel enregistrées pourront être transmises. Le texte mentionne « les instances ayant une mission d’intérêt public pour les finalités dont sont chargées ces instances ». C’est vague. De qui parle-t-on ? La Stib, la SNCB, bpost ont aussi des missions d’intérêt public. Le choix sera laissé à l’appréciation du fameux Comité de sécurité de l’information (CSI), un organe sous la coupe de Frank Robben, le monsieur « data » du gouvernement qui est à la tête de tout le projet informatique autour de la vaccination (voir notre dossier dans Le Soir du 11 février). L’APD estime que ce n’est pas au CSI de décider à qui ces données peuvent être transmises mais au Parlement, qui doit in fine valider l’accord de coopération.

    Elle ne voit pas de raisons pour ne pas mentionner de manière précise les destinataires : « Étant donné que la vaccination est déjà en cours depuis 1 à 2 mois, il doit être possible de déterminer les flux de données nécessaires à cette fin vers des destinataires tiers. La formulation actuelle du projet d’accord de coopération constitue une sorte de chèque en blanc laissant ouvertes de larges possibilités de partage ultérieur des données avec des instances qui ne sont pas encore spécifiées, en vue de finalités qui ne sont pas strictement délimitées ». Alexandra Jaspar nous indique que « ce texte viole le principe de légalité qui précise que tous les éléments essentiels d’un traitement de données doivent être prévus par un texte de rang de loi ». Le gouvernement a néanmoins répondu à l’une des craintes de l’APD, en ajoutant dans l’exposé des motifs des références juridiques anti-discrimination afin que des personnes non vaccinées ne puissent pas être exclues de l’accès à certains services publics.

    Médecins et mutuelles veulent des garanties

    Reste à voir ce que le gouvernement va faire de cet avis purement consultatif. Va-t-il s’asseoir dessus comme cela a souvent été le cas ces derniers mois ? Du côté des médecins, les choses sont claires : « Nous voulons avoir l’assurance que si nous transmettons des données sur les patients à risque, tout cela rentre dans un cadre tout à fait légal, explique Thomas Orban, président de la Société scientifique de médecine générale. Il ne faudrait pas qu’on puisse se retourner contre nous par la suite. Si le texte n’est pas compatible avec le GDPR (le règlement européen sur la protection des données), je ne transmettrai rien du tout ». Même son de cloche du côté des mutuelles où l’on s’apprête à confectionner pour le compte de l’Etat des listes de personnes ayant des comorbidités en fonction des données de prescription qu’elles détiennent (médicaments consommés, traitements suivis…). « L’Etat doit tenir compte de cet avis et revoir sa copie », estime Pierre Cools, secrétaire général adjoint de la mutualité Solidaris.

    #données #santé #APD-Belgique

    ##santé

  • La Smals, le bras armé informatique de l’Etat
    https://plus.lesoir.be/354297/article/2021-02-10/la-smals-le-bras-arme-informatique-de-letat

    Pour mettre en place ses banques de données centralisées (chez Sciensano) et ses outils algorithomiques, l’Etat peut compter sur une ASBL, dirigée par Frank Robben. A l’abri des appels d’offres. On récapitule. Dès les années 90, Frank Robben, fonctionnaire visionnaire (il flaire avant tout le monde le potentiel du « Big Data »), obsédé par la simplification administrative, tisse une « administration en réseaux ». Naissent alors la Banque carrefour de la Sécurité sociale, la plateforme eHealth… Une (...)

    #Coronalert #manipulation #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #domination #données #COVID-19 #santé (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##APD-Belgique

  • Le CSI, le club échangiste des gestionnaires de données
    https://plus.lesoir.be/354323/article/2021-02-10/le-csi-le-club-echangiste-des-gestionnaires-de-donnees

    Qui autorise les traitements de nos données par les administrations ? Pas le parlement. Qui en contrôle l’usage ? Personne. Un Comité de sécurité de l’information fait le job. A l’abri du contrôle démocratique, du Conseil d’Etat et de l’APD. Qui autorise les traitements de nos données par les administrations ? Pas le parlement. Qui en contrôle l’usage ? Personne. Un Comité de sécurité de l’information fait le job. A l’abri du contrôle démocratique, du Conseil d’Etat et de l’APD. Frank Robben a son rond de (...)

    #Coronalert #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #COVID-19 #santé #manipulation (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##APD-Belgique

  • L’APD, le chien de garde qui ne mord pas
    https://plus.lesoir.be/354315/article/2021-02-10/lapd-le-chien-de-garde-qui-ne-mord-pas

    L’Autorité de protection des données doit sanctionner l’Etat en cas d’infraction au RGPD (comme c’est le cas). Et pourtant, elle montre à peine les crocs. Son indépendance est solidement mise en cause. Les libertés, c’est comme du dentifrice, une fois que ça sort du tube, ça n’y rentre plus jamais. » Elise Degrave, professeur de droit à l’UNamur, a le sens de l’image qui claque. En termes juridiques, « l’effet cliquet des droits fondamentaux » parle sans doute moins au citoyen lambda. Pour en mesurer la (...)

    #manipulation #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Chacun chez soi. Et la vie privée sera bien gardée
    https://plus.lesoir.be/354411/article/2021-02-11/chacun-chez-soi-et-la-vie-privee-sera-bien-gardee

    Les données personnelles nous appartiennent. C’est aussi simple que cela. Si l’Etat les sollicite, notamment pour lutter contre un coronavirus, c’est son droit. Mais il a aussi un devoir : ne pas piller nos données.

    De son registre de naissance à son acte de décès, le citoyen n’a pas le choix : il livre la moindre trace de sa vie administrative à l’Etat qui, en échange de sa confiance, lui promet une loyauté sans faille sur leur usage. Le respect strict de notre vie privée constitue même l’une des différences fondamentales entre un Etat démocratique et un régime totalitaire. En Belgique, ce pacte est à deux doigts de la rupture. S’il n’a d’ailleurs pas déjà cédé. Le flop du traçage est un signal d’alerte fort : quand la relation de confiance est lézardée par la suspicion permanente, doit-on s’étonner que certains hésitent à deux fois avant de balancer leurs données de localisation ou de santé ? Sans garantie aucune sur leur réutilisation par l’une ou l’autre administration (fiscale, par exemple) à des fins de profilage ou de surveillance.

    Les données personnelles nous appartiennent. C’est aussi simple que cela. Et aussi clair qu’un article de la Constitution (le 22e). Si l’Etat les sollicite, notamment pour lutter contre un coronavirus, c’est son droit. Mais il a aussi un devoir : ne pas piller nos données. C’est non seulement illégal, mais c’est surtout dangereux : quand on grignote les libertés fondamentales, elles ne ressuscitent pas par la magie d’un hypothétique arrêté royal qui décréterait un jour la fin de la guerre contre le covid. L’Etat a fauté : en sacralisant l’efficacité, il a tailladé la vie privée. Alors que tous les juristes rappellent avec force que les deux ne sont pas contradictoires. Ces entorses ne datent pas d’hier. L’enquête du Soir sur la gestion de nos données à caractère personnel, depuis l’écriture des textes législatifs jusqu’à la conception de gigabases de données centralisées, en passant par le contrôle de l’Autorité de protection des données (APD), montre que les remparts démocratiques se sont fissurés. Et ce depuis les années Dehaene quand, petit à petit, s’est échafaudée une usine à gaz babylonienne et tentaculaire. Pour ne pas dire opaque, plus encore que ne le sont les algorithmes des Gafa.

    Conflits d’intérêts notoires, des organismes qui se substituent au Parlement (et leurs décisions, aux lois), un Conseil d’Etat hors jeu. Ou encore une Autorité de protection des données instrumentalisée, « bypassée » et affaiblie. Qui ne sanctionne pas l’Etat. Pas plus que le Parlement ne monte au créneau. Ou alors en décrétant un audit de l’APD par… la Cour des comptes (pourquoi pas l’Afsca tant qu’à faire ?), comme si la vie privée était une variable de marché. Quant à Mathieu Michel, secrétaire d’Etat en charge du dossier, il annonce un groupe de travail amené à proposer une révision de la loi sur la vie privée, la énième du genre. La réponse est pourtant si simple : respecter la loi, exactement l’inverse de ce que l’Etat ne fait plus en matière de vie privée. Un pouvoir exécutif qui ne s’assoit pas sur les institutions, un vrai débat parlementaire sur l’usage de nos données, une Autorité qui s’assure que tout est d’équerre, des marchés publics transparents, ouverts au monde académique, pour les algorithmes… Bref, chacun chez soi et la vie privée sera bien gardée.

    #Coronalert #manipulation #données #COVID-19 #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Autorité de protection des données : « Ne soyons pas naïfs, notre vie privée est sous pression »
    https://plus.lesoir.be/352768/article/2021-02-03/autorite-de-protection-des-donnees-ne-soyons-pas-naifs-notre-vie-privee-

    « Il ne faudrait pas que les mesures mettant en péril notre vie privée subsistent après la crise. » Pour la première fois, les patrons de l’Autorité de protection des données (APD) défendent leur bilan, sur fond d’intenses conflits internes et de critiques.

    Traçage, collecte massive de données, contrôle de quarantaine, « Passenger location form »… La crise covid a mis la vie privée à rude épreuve. Elle a aussi mis un coup de projecteur sur la jeune Autorité de protection des données (APD) mise en place en 2019 dans la foulée du Règlement général sur la protection des données (RGPD). Au four et au moulin, notamment dans un gros dossier l’opposant à Google, l’ex-Commission de la vie privée a aussi été ébranlée par de solides conflits internes comme le révélaient Le Soir et Knack le 15 octobre. Une lettre au vitriol, adressée au Parlement par deux directrices de l’APD (en écho à d’autres signaux d’alarme activés par la Ligue des droits humains et plusieurs juristes) dénonçait une « institution inopérante », « vidée de sa substance », minée par de « graves soucis d’indépendance » et « instrumentalisée » par le politique.

    Pour la première fois, David Stevens, son président, et Hielke Hijmans, directeur de la Chambre contentieuse, répondent aux accusations pour Le Soir et Knack. Et défendent fermement le bilan de cette jeune institution. « Jamais la vie privée des 11 millions de Belges n’a été aussi bien protégée », assènent-ils.

    Dites-nous, l’APD fonctionne-t-elle comme elle devrait ?

    Hielke Hijmans : Le bilan est positif. On est passé d’une autorité qui rendait surtout des avis à une véritable autorité de contrôle, qui peut donc sanctionner. Est-ce que ça va assez vite ? Non, je ne crois pas. On met en place une jurisprudence qui donne une base juridique cohérente au citoyen. Je regrette juste que, en raison des volumes énormes de dossiers, nous ne soyons pas capables de traiter les affaires dans un délai acceptable. C’est dû aux procédures légales et au budget. On doit trouver des solutions.

    Le 28 janvier, on célébrait la Journée internationale de la protection des données ? Un jour noir ?

    David Stevens : Oui, parce que le coronavirus et toujours là et que des gens meurent. Mais pas pour la protection de la vie privée. Est-ce que cela veut dire que tous les problèmes sont résolus ? Non, pas du tout. On aurait pu faire plus et mieux. Mais nous protégeons la vie privée des gens de manière plus efficace qu’avant.

    Vos sanctions sont très souvent contestées en appel (devant la Cour des marchés). C’est le cas pour les amendes de 20.000 euros à Proximus et de 600.000 à Google infligées pour non-respect du RGPD… Quel est le souci ?

    H.H. : C’est surtout pour des questions de procédure qu’elles sont annulées. Les conditions que la Cour des marchés nous impose sont assez élevées. Cela nous demande d’être vigilant. Ces entreprises ont des moyens illimités pour contester nos décisions.

    Vous dites que les procédures sont trop lourdes. Le RGPD est inapplicable ?

    H.H. : En 2020, on a eu plus ou moins 600 plaintes ici en Belgique. On doit les traiter une par une, d’une manière « diligente », comme dit la loi. L’APD a des compétences énormes. On peut imposer des sanctions de plusieurs millions. Cela justifie des procédures très formelles. Mais je crois, oui, que de temps en temps, les procédures sont trop lourdes, même pour les petits cas. On travaille sur leur allégement en Belgique.

    Selon vous, ce n’était pas un jour noir pour la protection des données. Vous niez que notre vie privée est plus que jamais sous pression ?

    DS : Ne soyons pas naïfs, je ne dis pas que notre vie privée n’est pas sous pression. Je vous donne un exemple. Au début de la crise sanitaire, Philippe De Backer et Maggie De Block (NDLR, ex-ministres de l’Agenda digital et de la Santé, Open VLD) se sont demandés si on pouvait utiliser les données télécoms pour en faire un indicateur de mobilité. A l’époque, cela paraissait comme un problème compliqué. Rétrospectivement, la question est en réalité facile (car les données sont totalement anonymes). Mais quand je lis dans la presse ce que certains veulent faire, comme envoyer les données des personnes en quarantaine aux bourgmestres (le nom, l’adresse et la période de quarantaine)…

    C’est cela, votre ligne rouge ?

    DS : La crise corona évolue de jour en jour. Nous sommes peut-être au début d’une troisième vague. Donc, même si je dis que la ligne rouge est ici, il se pourrait que d’ici deux ou trois jours nous soyons confrontés à des décisions que l’on n’imaginait pas il y a peu de temps. Entre vie privée et santé publique, ce n’est jamais noir ou blanc. Il faut trouver un équilibre. Et c’est souvent du gris. C’est dommage, peut-être, mais c’est la vie.

    Si on ne regardait cette crise que sous l’aspect vie privée, c’est simple : rien ne se serait autorisé. Pas d’application corona, pas de transmission de données aux bourgmestres, pas de registre d’infections, pas de registre à Sciensano… Mais nous devons également prendre en compte d’autres intérêts, à savoir la protection de la vie privée dans son contexte. Parce que ces traitements de données servent également un but. Et nous devons également tenir compte de cet objectif.

    Vous savez, le respect de la quarantaine pourrait être vérifié sur la base des données de télécommunications. C’est techniquement possible. Il suffirait de demander les données aux opérateurs télécoms. Mais j’espère que ce jour ne viendra pas. Le cauchemar, pour moi, serait encore pire. A long terme, on ne serait pas loin de la situation en Chine, où vous êtes surveillé pour votre contrat social. Et perdez votre emploi si vous passez le feu rouge.

    HH : Je suis d’accord avec ça. Il y a autre chose qui est essentiel, et je l’ai vu au cours de toutes ces années : quand ce genre de mesures est imposé, elles restent simplement en place.

    Vous comprenez donc que les gens s’inquiètent de l’impact de certaines mesures corona sur leur vie privée (tracing, données de vaccination, déplacements à l’étranger…) ? Mais êtes-vous entendus ? Ou même, consultés ?

    DS : Attendez… Pour la troisième vague, le variant britannique… Je ne défends pas du tout le gouvernement ou qui que ce soit. Ce à quoi nous sommes attentifs, c’est le bon équilibre. Je n’accepte pas l’insinuation selon laquelle on mettrait de côté l’APD. Ou qu’on laisserait tranquillement travailler le gouvernement. Oui, évidemment, on trouve que c’est problématique qu’après un an, il n’y ait pas encore une loi Pandémie. Nous sommes en train de rechercher si oui ou non on doit, on veut, réagir devant les instances judiciaires.

    Dans quels cas, par exemple ?

    DS : Plusieurs dossiers sont sous nos radars. Comme la possibilité (NDLR, en Flandre) de transmettre les données de quarantaine aux bourgmestres, ou l’arrêté ministériel du 12 janvier qui donne à l’ONSS des pouvoirs étendus pour partager des données personnelles avec à peu près n’importe qui. Après un avis externe d’un cabinet d’avocats spécialisé, notre comité de direction a décidé d’envoyer un avertissement clair dans une lettre à toutes les autorités de notre pays. Si certaines mesures ne sont pas corrigées, nous pouvons toujours décider de saisir les tribunaux. Si la mesure est déclarée nulle et non avenue, le transfert ne peut plus avoir lieu.

    Nous sommes également préoccupés par la situation à Bruxelles. Le bourgmestre d’Etterbeek (NDLR, Vincent De Wolf, MR) a mis en demeure l’administration bruxelloise dans le but d’obtenir les données des citoyens contraints à la quarantaine. Mais il n’existe aucune base légale pour cela. Nous avons donc ouvert un fichier de surveillance et demandé des informations complémentaires.

    La demande de Vincent De Wolf se calque sur ce qui se fait déjà en Flandre…

    DS : Oui, en Flandre, il est possible de transmettre les données de quarantaine aux bourgmestres. Nous enquêtons également actuellement sur cette affaire. Mais la Flandre a adopté un décret à ce sujet en décembre, qui renforce l’application des mesures de quarantaine. Nous pouvons également faire appel au Conseil d’Etat contre cela. A Bruxelles, il n’y a aucune base réglementaire qui permet à un bourgmestre de mettre en demeure une administration régionale pour lui fournir ces informations.

    Vous pourriez… N’avez-vous pas été consultés ?

    DS : Non, dans aucun des trois cas (NDLR, arrêté ministériel, données de quarantaine en Flandre et à Etterbeek). Alors que c’était en fait obligatoire. Et dans d’autres cas, le gouvernement a ignoré nos conseils. Par exemple, nous avons estimé qu’une base de données centrale à Sciensano contenant toutes les données corona, ce n’est pas une bonne idée.Retour ligne automatique
    Analyse : crise d’Autorité

    Ph.L.

    Nul doute que cet entretien en laissera plus d’un sur sa faim : juristes, défenseurs des droits humains, certains au sein même de l’APD, bref, tous ceux qui, depuis des mois, tirent la sonnette d’alarme sur les faiblesses de cette institution majeure de notre démocratie. Difficile de leur donner tort. David Stevens et Hielke Hijmans défendent avec force un bilan marqué sous le signe de la « proactivité », plaident les « lourdeurs du RGPD » ou la complexité du contexte sanitaire. Ce n’est pas faux. Mais ils ne rassurent pas. En particulier sur la capacité de la gardienne de la vie privée à assumer ses missions. Avec abnégation. Ils bottent en touche. Les soucis d’indépendance ? « C’est le Parlement qui nomme les membres. » Le « bypass » de l’autorité flamande ? Du pipeau. Les problèmes internes ? Des conflits interpersonnels… Concernant sa participation à la « Task Force Corona », David Stevens relève lui-même ce qu’on lui reproche : donner son avis sur un texte qu’il a lui-même contribué à rédiger. Peu rassurant, aussi, cette idée que la vie privée serait en balance avec la santé publique. Ni la loi, ni le RGPD ne prévoient de « zone grise ». En matière de protection des données, tout est possible à partir du moment où c’est justifié, expliqué et contrôlable. C’est précisément ce qu’il leur était demandé dans cet entretien.

    #Coronalert #contactTracing #géolocalisation #manipulation #données #COVID-19 #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Comment l’Etat prend des libertés avec votre vie privée
    https://plus.lesoir.be/350168/article/2021-01-21/comment-letat-prend-des-libertes-avec-votre-vie-privee

    Si vous êtes sensible à l’utilisation de vos données personnelles, un article passé inaperçu dans l’arrêté ministériel « covid » du 12 janvier dernier devrait vous intéresser. Problème : il est impossible pour le citoyen de décoder sa portée. Des recours devant le Conseil d’État sont envisagés.

    Le 8 janvier dernier, le Comité de concertation se passe de conférence de presse pour vous annoncer ce qui va changer dans les mesures prises pour lutter contre le covid. A la télé, on vous parle de la réouverture des auto-écoles et c’est à peu près tout. L’arrêté ministériel publié quatre jours plus tard au Moniteur introduit pourtant d’autres décisions. La prolongation des mesures exceptionnelles, comme le couvre-feu, jusqu’au 1er mars. Ainsi qu’un très discret « article 8 ». Quelques phrases, difficilement abordables pour un public non averti.

    En écourtant un peu, voici ce qu’il contient : l’ONSS, l’Office national de sécurité sociale, en qualité de sous-traitant pour tous les services ou institutions chargées de la lutte contre le covid et de surveiller le respect des obligations prévues pour limiter la propagation du virus, peut désormais collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au covid, de contact, d’identification, de travail et de résidence relatives aux travailleurs, salariés et indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités.

    Vous non plus, vous n’avez pas tout compris ? Pourtant, quand vous consentez à partager vos données avec un tiers, vous avez le droit de savoir exactement ce qu’il va en faire. On a donc tenté d’y voir plus clair. Attention, terrain miné.

    Pas de loi, pas de chocolat

    Premier réflexe : demander un effort de pédagogie aux auteurs. Pourquoi avoir ajouté cet article 8, quelle est l’intention poursuivie par les autorités ? Au cabinet de la ministre de l’Intérieur Annelies Verlinden (CD&V) – qui signe tous les arrêtés ministériels « covid » – on nous répond rapidement « qu’en réalité c’est ici le ministre de la Santé qui est en charge et, donc, qu’on n’est pas en mesure de nous répondre ». Au cabinet du ministre de la Santé, Frank Vandenbroucke (SP.A), on est « débordés » mais on nous revient finalement en dernière minute avant la publication du présent article : « La mesure avait déjà été introduite en août dernier. Elle a été élargie pour permettre aux services d’inspection sociale de vérifier le respect des règles sur le lieu de travail afin de contribuer à prévenir la propagation du virus. Bien entendu, dans le respect de la vie privée ».

    Deuxième réflexe : sonder le milieu académique. À l’UMons, Anne-Emmanuelle Bourgaux, professeure de droit et constitutionnaliste, a justement mis en place un exercice hebdomadaire avec ses étudiants : le Labovir-IUS, observatoire juridique de la crise covid. « On est tombé de notre chaise. Cet article est volontairement vague, illisible pour le commun des mortels », explique-t-elle. « Ce genre de mesures doit impérativement être écrit dans un texte de loi ». Quand l’État traite des données à caractère personnel, il organise des ingérences dans la vie privée des citoyens. Celles-ci doivent en effet respecter des balises fixées notamment par la Convention européenne des droits de l’homme et par notre Constitution. En résumé, « les éléments essentiels » de traitement de données doivent être explicitement prévus dans une loi. « En l’absence de débat parlementaire public, d’exposé des motifs par la ministre de l’Intérieur et des avis des autorités de contrôle (le Conseil d’État et l’Autorité de protection des données, NDLR), la portée exacte de cet article est opaque ».

    Ses étudiants ont fait l’exercice de « traçage » de la mesure : un texte similaire est effectivement déjà apparu dans un arrêté ministériel du 22 août, confirmé ensuite à deux reprises en octobre, mais il concernait uniquement les travailleurs détachés de certains secteurs d’activité. Désormais, sont concernés « tous les travailleurs salariés et indépendants ».

    Deux recours envisagés

    À l’Autorité de protection des données (APD), organe « gardien » de votre vie privée, on confirme : la surprise a été totale à la lecture, aucun avis préalable n’a été demandé par nos autorités. « On parle bien, entre autres, de données de santé, qui doivent être très protégées, de données massives, qui concernent ici des millions de citoyens et d’utilisations de ces données qui pourraient donner lieu à des traitements discriminatoires, ensuite », constate Alexandra Jaspar, directrice du centre de connaissances. « Car, avec ce texte, rien n’est interdit. C’est un chèque en blanc. ». L’APD tenait un conseil d’administration mardi notamment sur le sujet, la possibilité d’un recours en extrême urgence devant le Conseil d’État est étudiée par l’institution. La ligue des droits humains envisage, également, sur base d’arguments similaires, la même procédure.

    Selon Elise Degrave, professeure de droit à l’UNamur et chercheuse en droit numérique, les pires suppositions sont aujourd’hui envisageables. « Faut-il comprendre qu’il y a là une rupture entre le discours politique et les actes concrets ? Initialement, le discours était : “donnez-nous vos données, nous en avons besoin pour lutter contre le virus”. Aujourd’hui, on se demande si l’on va réutiliser tout ou partie de ces données pour “surveiller le respect des obligations”. Il y aurait là un détournement de la finalité initiale : on passe d’une finalité à l’avantage du citoyen – aider le citoyen à sortir de la crise – à une finalité de contrôle de celui-ci ».

    L’utilisation du « datamatching » et du « datamining » inquiète particulièrement la chercheuse (lire par ailleurs).

    « Tout est balisé »

    Le patron de l’ONSS, Koen Snijders, lui, se veut rassurant, comme le gouvernement. « Tout est balisé et on ne fait pas réellement ce qui est écrit dans l’arrêté. Actuellement, nous manipulons très peu de données sensibles, donc de santé, et sur la supervision d’un médecin. Nous utilisons effectivement également les données des “passenger locator form” (PLF) mais dans un autre cadre, bien clair également ».

    Selon ses explications et celles du cabinet Vandenbroucke, l’ONSS reçoit de Sciensano les données « cas index », soit des personnes testées positives et se charge ensuite de les « croiser » avec les données « travail » (qu’il est le seul à posséder). « De cette manière, on peut transmettre l’information aux seuls organismes régionaux en charge du traçage : si l’on remarque plusieurs cas positifs sur le même lieu de travail et donc un potentiel cluster. Les données reçues sont détruites après deux semaines ».

    Concernant les informations contenues dans les PLF, « elles sont aussi croisées avec les données “travail”, si l’on remarque que des personnes sont sur le lieu de travail alors qu’elles devraient être en quarantaine, car, de retour de zone rouge, nous envoyons des inspecteurs sur place. Notre mission est préventive. Si la personne ne collabore pas, nous prévenons les autorités ou la police locale. Ces données sont conservées chez nous mais elles ne sont pas transmises actuellement de manière systématique à d’autres organismes ».

    Ces procédés seraient prévus explicitement dans des délibérations du « Comité de sécurité de l’information » (CSI). « L’arrêté n’est que l’étape 1. L’étape 2, ce sont les décisions du CSI, c’est lui qui décide en réalité ce que l’on peut faire et ne pas faire, qui pose les limites », assure Koen Snijders.

    Le Comité de sécurité de l’information est un organe en charge, depuis 2018, d’autoriser ou non le partage de données personnelles détenues par les autorités publiques. Il s’agit d’une assemblée non élue, constituée contre l’avis du Conseil d’État et qui a déjà fait l’objet de plaintes. « On ne sait pas sur base de quels critères les décisions sont prises et elles ne sont pas publiées au Moniteur », précise Elise Degrave, qui a étudié en profondeur son fonctionnement.

    Nous avons cherché, sur le site internet de l’organisme et ailleurs sur le web, la délibération à laquelle l’administrateur général de l’ONSS fait référence, sans succès. La plus récente concernant l’utilisation des données « covid » par l’ONSS remonte à septembre dernier, elle fait référence à l’ancienne disposition sur les travailleurs détachés. « La dernière délibération n’a pas encore été publiée mais elle a bien eu lieu », nous assure-t-on au cabinet Vandenbroucke.

    Difficile, en résumé, pour le citoyen, même attentif, de comprendre à quelle sauce sont actuellement et seront à l’avenir cuisinées ses données personnelles. À sa disposition : un article d’un arrêté ministériel dont on ne lui a pas parlé et dont « les contours sont volontairement flous », selon plusieurs spécialistes. Ainsi qu’une délibération d’un organe peu connu, introuvable en ligne.Retour ligne automatique
    Des algorithmes dont on ne sait rien

    Amandine Cloot

    L’article 8 fait référence à deux anglicismes : le « datamatching » et la « datamining ». Soit des techniques algorithmiques pointues, difficile à appréhender par le citoyen.

    Le premier procédé permet de rassembler au même endroit des tonnes de données et de les croiser. Le second a pour but d’extraire, de cette masse de données croisées, des informations nouvelles. « Ces techniques sont déjà utilisées par l’ONSS pour lutter contre la fraude sociale. L’outil qui ne peut pas être improvisé existe (cette base de données répond à l’acronyme OASIS, NDLR). Les données covid vont-elles y être mélangées ? Seront-elles ensuite conservées ? », s’interroge Elise Degrave, professeure de droit à l’UNamur et chercheuse en droit numérique.

    Dans le cadre de la lutte contre la fraude sociale, ces deux procédés permettent en tout cas de créer des profils type de fraudeurs. Quand quelqu’un « matche » avec ces profils, il est alors fiché et contrôlé ensuite par l’administration.

    Bien sûr, la transparence des algorithmes utilisés est ici essentielle. L’objet mathématique est toujours créé par un humain : il peut être biaisé. Même si cet humain représente les pouvoirs publics. En février dernier, aux Pays-Bas, un tribunal a interdit l’utilisation de ces deux techniques par l’État. Raison ? Des études montraient que l’algorithme développé ciblait en priorité les quartiers pauvres et migrants pour lutter contre la fraude sociale. Le juge a estimé qu’il était effectivement impossible de s’assurer, en raison de leur non-transparence, que les outils en place n’étaient pas « corrompus ».
    #algorithme #manipulation #données #COVID-19 #profiling #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Le casse du siècle sur la vie privée des Belges
    https://plus.lesoir.be/354333/article/2021-02-11/grand-format-le-casse-du-siecle-sur-la-vie-privee-des-belges

    Comment le traitement de données à caractère personnel par l’Etat est devenu une usine à gaz, tentaculaire et opaque. Les garde-fous démocratiques se sont fissurés. Plaçant la Belgique en menace d’infraction grave au RGPD.

    Dites-nous, Monsieur Stevens, tout va comme vous voulez à l’Autorité de protection des données (APD) ? » Un brin candide, la question est en réalité énorme. Prélude d’un entretien, qui, au final, durera plus de trois heures (Le Soir du 3 février), elle aspire innocemment à prendre le pouls d’une institution tenaillée par les tensions, bombardée de critiques et assiégée par les questions liées à la gestion de la crise covid. Sans parler des Gafa.

    Le président de la « gardienne de la vie privée » n’aura pas le temps d’y répondre.

    Comme sauvé par le gong, celui d’une alarme incendie, au 35 rue de la Presse, où campent aussi le Comité P et la bibliothèque du Parlement. Des cohortes d’agents de l’Etat se retrouvent sur le trottoir (à défaut d’être en télétravail, comme le lui a rappelé, le 21 décembre, une inspection sociale menée dans les locaux de l’Autorité).

    Ce n’était qu’une fausse alerte. Et pourtant, le feu couve bel et bien à l’APD. Enfumant, bien au-delà, toute la chaîne de contrôle de nos données à caractère personnel, depuis l’écriture des lois à leurs outils d’application et de gestion. Soit, par exemple, depuis un arrêté royal encadrant le traçage à une base de données Sciensano. « En termes de vie privée, le traçage est foireux de A à Z » y va, franco, une source interne. « Mais en réalité, poursuit-elle, la crise covid ne fait que mettre en lumière le casse du siècle sur nos données personnelles, qui se joue depuis les années 90 ».Retour ligne automatique
    Toutes les traces de notre vie

    Une somme inouïe d’incompétences, d’erreurs de jugement, de fautes de gouvernance, de précipitation, d’interprétations tarabiscotées de règlements et d’omniscience mégalomaniaque a conduit à échafauder, consciemment ou non, un système de gestion de l’Etat à l’écart du contrôle parlementaire, à l’abri du Conseil d’Etat ou du recours citoyen et échappant à une Autorité de contrôle de plus en plus vidée de sa substance. « Et ce système est à deux doigts d’exploser », assène un autre témoin.

    De quoi parle-t-on ? De toutes les « traces » de notre vie. Celles que nous donnons en toute confiance aux autorités ou aux administrations, sous couvert d’un encadrement législatif, et logées ensuite dans des serveurs informatiques, normalement ultra-sécurisés. On pense bien entendu aux données relatives à la santé (sollicitées à flux tendu durant la crise sanitaire). Mais aussi aux données fiscales, de sécurité sociale, judiciaires… Bref, un paquet de renseignements privés, voire intimes, qui, en vertu du RGPD en place depuis 2018, sont censés être manipulés dans les règles de l’art. C’est-à-dire pour un objectif précis, légitime et adoubé par le parlement. Bref, en toute transparence.

    Le job de l’APD, c’est de s’en assurer. « Or, elle devient inopérante » dénonçaient, en septembre dernier, Alexandra Jaspar et Charlotte Dereppe, respectivement directrice du Centre de connaissances et directrice du Service de première ligne de l’APD, dans un courrier adressé au parlement et révélé par Le Soir et Knack. En 10 pages, tout est balancé, et solidement charpenté par des centaines de pages d’annexes : la nomination illégale de la moitié des membres externes du Centre des connaissances (celui qui, précisément, garantit le respect de notre vie privée dans les textes législatifs), les conflits d’intérêts notoires accablant certains de ces membres à la fois concepteurs et contrôleurs des lois, la délégation de pouvoirs (au mépris de la Constitution) à une instance régionale flamande (la VTC), des inspections illégales, des écarts de gouvernance, des avis de complaisance, des dossiers enterrés ou contournés… Ou encore le rôle du mystérieux Comité de sécurité de l’information (CSI), un organe (contraire à toutes les règles nationales et internationales) qui s’est arrogé le droit de décider quelles instances publiques auraient le droit de réutiliser quelles données et pourquoi. Aux dépens du parlement, de l’APD. De quoi, par exemple, permettre au gouvernement de conforter un arrêté royal autorisant l’ONSS à puiser à peu près toutes les données de santé (Le Soir du 21 janvier).Retour ligne automatique
    Frank Robben, le « Big Brother »

    A chaque fois, les projecteurs se braquent sur un seul homme : Frank Robben, dont nos confrères du Vif brossaient déjà le portrait de « Big Brother » en 2013. Le « Monsieur tracing », c’est lui. Le « Monsieur vaccin » aussi. Plus globalement, il est surtout le « Monsieur data » du royaume : père de la carte SIS, ce proche du CD&V gère les bases de données des Banque carrefour de la Sécurité sociale et d’eHealth (dont il est à chaque fois l’administrateur général). Il est président du comité de direction de la Smals (l’ASBL qui gère toute l’informatique de l’administration, des serveurs aux formulaires « PLF » en passant par les call centers de traçage).

    En tant que membre externe du Centre de connaissances de l’APD, il pèse de tout son poids sur la régulation (et sur David Stevens). Du moins quand les textes y sont soumis. Si pas, il rédige aussi les « délibérations » (comprenez « autorisations ») du CSI, qui dribble allègrement l’APD. Jugé incontournable par le gouvernement, il lui prête aussi sa plume dès lors qu’il s’agit de rédiger un arrêté en extrême urgence mettant en jeu notre vie privée, comme l’arrêté royal qui permet à l’institut de santé publique Sciensano de centraliser toutes les données du traçage manuel et numérique.Retour ligne automatique
    Comme dans les pires romans dystopiques

    Le Soir a tenté, patiemment, de retisser tous les liens du « système Robben » mis en place depuis les années Dehaene. Et de reconstruire brique par brique ce Lego juridico-informatique, sans mode d’emploi. Qui s’apparente, au final, à une fusée à trois étages. Un : la conception de la tuyauterie de récolte et d’échange de données entre les administrations. Deux : sa validation par des autorités de contrôle, soit affaiblies, soit autoproclamées. Trois : sa mise en application, sans marché public, via son bras armé informatique, la Smals.

    Il reste un quatrième étage, qui semble relever des pires romans dystopiques : l’utilisation de nos données à d’autres fins que celles ayant justifié leur récolte. Exemple : l’accès à certains espaces publics aux seuls vaccinés. En croisant les données, rien de plus simple… Or, c’est précisément ce qui se trame, lancent en chœur plusieurs juristes et lanceurs d’alerte. Comme si l’Etat belge intégrait doucement les codes des régimes autoritaires, où la vie privée n’est qu’accessoire.

    Ce système qui, dans la foulée de deux plaintes déposées à la Commission européenne (une contre le CSI en juillet, une autre sur l’indépendance de l’APD en novembre), pourrait valoir à la Belgique de se faire épingler pour infraction grave au RGPD. Un peu comme Facebook ou Google. Sauf qu’ici, on parle d’un Etat, dont les outils d’intelligence artificielle apparaissent finalement tout aussi opaques. « A la différence que Facebook ou Google, vous avez encore le droit de ne pas les utiliser » ponctue Alexandra Jaspar.

    #données #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #APD-Belgique

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_

  • Michel Dupuis : « Le droit du patient n’est possible que si les soignants sont dans des conditions acceptables » - Le Soir Plus
    https://plus.lesoir.be/347249/article/2021-01-05/michel-dupuis-le-droit-du-patient-nest-possible-que-si-les-soignants-son

    On parle beaucoup de droits du patient. Quels sont ses devoirs ? Michel Dupuis : Effectivement, notre loi ne dit rien d’explicite sur les obligations du patient et, par exemple, les questions de solidarité. Elle s’arrête à la notion de « meilleurs soins possibles » pour un patient, elle n’aborde pas la « concurrence » entre patients. Je suis pour une politique la plus transparente possible, y compris en termes de devoirs. À ce propos, un concept intéressant a été dégagé il y a une vingtaine d’années en Afrique subsaharienne : le paradigme du « patient victime-vecteur ». Dans une situation à haute contagiosité, où les ressources sont rares, le patient est d’abord victime, donc il a le droit d’être pris en charge. Mais il n’est pas que victime, il est aussi vecteur. Autrement dit, il transmet, il contamine… Or, (...)

    #santépublique #éthique

  • Joyeux Noël, une fois :

    vrai ou faux : la police peut-elle entrer chez les gens le soir de Noël ?

    Vrai. La ministre de l’Intérieur annonce que les policiers sonneront aux portes pour vérifier le respect des mesures sanitaires mais sans entrer car c’est illégal.

    Faux, rétorque un policier. Les policiers peuvent entrer.

    (en Belgique, hein)

    https://plus.lesoir.be/339313/article/2020-11-22/le-vrai-ou-faux-la-police-peut-elle-entrer-chez-les-gens-le-soir-de-noel

    • La police ne s’invitera pas dans les maisons
      https://www.ledevoir.com/politique/quebec/586487/respect-des-mesures-anti-covid-19-quebec-ecarte-l-idee-de-permettre-aux-po

      La ministre de la Sécurité publique, Geneviève Guilbault, jure ne pas étudier actuellement la possibilité de permettre aux policiers de pénétrer, sans mandat, à l’intérieur des propriétés privées dans lesquels ils soupçonnent des rassemblements illégaux.

      « En aucun cas, nous n’envisageons en ce moment de permettre aux #policiers d’entrer dans les maisons privées des gens, à moins d’avoir le consentement du propriétaire ou du locataire de l’endroit ou d’avoir un mandat en bonne et due forme délivré, donc, par les instances judiciaires », a-t-elle déclaré dans une mêlée de presse mercredi avant-midi.

      Bon. N’étant pas nécessairement des crimes, les troubles à l’ordre public commis chez soi n’autorisent pas les violations de domicile. Bonne nouvelle. Sans presse, j’étais moi aussi mêlé d’avoir entendu dire qu’au Québec les policiers pouvaient débouler à la maison sur dénonciation. Le tapage nocturne sert peut-être de prétexte...

      #police

    • Covid. Aurillac : une « fête clandestine » réunit une dizaine de jeunes en centre-ville

      https://actu.fr/auvergne-rhone-alpes/aurillac_15014/covid-aurillac-une-fete-clandestine-reunit-une-dizaine-de-jeunes-en-centre-vill

      Ce mercredi 16 décembre 2020, vers 23h50, la police est intervenue dans le cadre d’une « fête clandestine » dans un appartement du centre-ville (rue de l’Hôtel de ville) à Aurillac. 8 jeunes, âgés d’une vingtaine d’années, s’étaient réunis. Ils étaient originaires d’Aurillac.

      Amendes et #tapage_nocturne

      Ils ont donc été verbalisés pour non-respect du couvre-feu et ont écopé d’une amende de 135 euros. Le locataire, quant à lui, a été verbalisé pour les mêmes faits et pour tapage nocturne.

      Le logement a été évacué dans le calme.

      Pour rappel, l’article 1 du décret du 29 octobre 2020 indique : « Les mesures d’hygiène […], incluant la distanciation physique d’au moins un mètre entre deux personnes, […] doivent être observées en tout lieu et en toutes circonstances ».

      je sas pas combien coûte le tapage nocturne mais il me semble qu’il y a matière à contester le PV sur la violation du coure feu... à domicile.

      #couvre-feu #amendes #PV