• Le casse du siècle sur la vie privée des Belges
    https://plus.lesoir.be/354333/article/2021-02-11/grand-format-le-casse-du-siecle-sur-la-vie-privee-des-belges

    Comment le traitement de données à caractère personnel par l’Etat est devenu une usine à gaz, tentaculaire et opaque. Les garde-fous démocratiques se sont fissurés. Plaçant la Belgique en menace d’infraction grave au RGPD.

    Dites-nous, Monsieur Stevens, tout va comme vous voulez à l’Autorité de protection des données (APD) ? » Un brin candide, la question est en réalité énorme. Prélude d’un entretien, qui, au final, durera plus de trois heures (Le Soir du 3 février), elle aspire innocemment à prendre le pouls d’une institution tenaillée par les tensions, bombardée de critiques et assiégée par les questions liées à la gestion de la crise covid. Sans parler des Gafa.

    Le président de la « gardienne de la vie privée » n’aura pas le temps d’y répondre.

    Comme sauvé par le gong, celui d’une alarme incendie, au 35 rue de la Presse, où campent aussi le Comité P et la bibliothèque du Parlement. Des cohortes d’agents de l’Etat se retrouvent sur le trottoir (à défaut d’être en télétravail, comme le lui a rappelé, le 21 décembre, une inspection sociale menée dans les locaux de l’Autorité).

    Ce n’était qu’une fausse alerte. Et pourtant, le feu couve bel et bien à l’APD. Enfumant, bien au-delà, toute la chaîne de contrôle de nos données à caractère personnel, depuis l’écriture des lois à leurs outils d’application et de gestion. Soit, par exemple, depuis un arrêté royal encadrant le traçage à une base de données Sciensano. « En termes de vie privée, le traçage est foireux de A à Z » y va, franco, une source interne. « Mais en réalité, poursuit-elle, la crise covid ne fait que mettre en lumière le casse du siècle sur nos données personnelles, qui se joue depuis les années 90 ».Retour ligne automatique
    Toutes les traces de notre vie

    Une somme inouïe d’incompétences, d’erreurs de jugement, de fautes de gouvernance, de précipitation, d’interprétations tarabiscotées de règlements et d’omniscience mégalomaniaque a conduit à échafauder, consciemment ou non, un système de gestion de l’Etat à l’écart du contrôle parlementaire, à l’abri du Conseil d’Etat ou du recours citoyen et échappant à une Autorité de contrôle de plus en plus vidée de sa substance. « Et ce système est à deux doigts d’exploser », assène un autre témoin.

    De quoi parle-t-on ? De toutes les « traces » de notre vie. Celles que nous donnons en toute confiance aux autorités ou aux administrations, sous couvert d’un encadrement législatif, et logées ensuite dans des serveurs informatiques, normalement ultra-sécurisés. On pense bien entendu aux données relatives à la santé (sollicitées à flux tendu durant la crise sanitaire). Mais aussi aux données fiscales, de sécurité sociale, judiciaires… Bref, un paquet de renseignements privés, voire intimes, qui, en vertu du RGPD en place depuis 2018, sont censés être manipulés dans les règles de l’art. C’est-à-dire pour un objectif précis, légitime et adoubé par le parlement. Bref, en toute transparence.

    Le job de l’APD, c’est de s’en assurer. « Or, elle devient inopérante » dénonçaient, en septembre dernier, Alexandra Jaspar et Charlotte Dereppe, respectivement directrice du Centre de connaissances et directrice du Service de première ligne de l’APD, dans un courrier adressé au parlement et révélé par Le Soir et Knack. En 10 pages, tout est balancé, et solidement charpenté par des centaines de pages d’annexes : la nomination illégale de la moitié des membres externes du Centre des connaissances (celui qui, précisément, garantit le respect de notre vie privée dans les textes législatifs), les conflits d’intérêts notoires accablant certains de ces membres à la fois concepteurs et contrôleurs des lois, la délégation de pouvoirs (au mépris de la Constitution) à une instance régionale flamande (la VTC), des inspections illégales, des écarts de gouvernance, des avis de complaisance, des dossiers enterrés ou contournés… Ou encore le rôle du mystérieux Comité de sécurité de l’information (CSI), un organe (contraire à toutes les règles nationales et internationales) qui s’est arrogé le droit de décider quelles instances publiques auraient le droit de réutiliser quelles données et pourquoi. Aux dépens du parlement, de l’APD. De quoi, par exemple, permettre au gouvernement de conforter un arrêté royal autorisant l’ONSS à puiser à peu près toutes les données de santé (Le Soir du 21 janvier).Retour ligne automatique
    Frank Robben, le « Big Brother »

    A chaque fois, les projecteurs se braquent sur un seul homme : Frank Robben, dont nos confrères du Vif brossaient déjà le portrait de « Big Brother » en 2013. Le « Monsieur tracing », c’est lui. Le « Monsieur vaccin » aussi. Plus globalement, il est surtout le « Monsieur data » du royaume : père de la carte SIS, ce proche du CD&V gère les bases de données des Banque carrefour de la Sécurité sociale et d’eHealth (dont il est à chaque fois l’administrateur général). Il est président du comité de direction de la Smals (l’ASBL qui gère toute l’informatique de l’administration, des serveurs aux formulaires « PLF » en passant par les call centers de traçage).

    En tant que membre externe du Centre de connaissances de l’APD, il pèse de tout son poids sur la régulation (et sur David Stevens). Du moins quand les textes y sont soumis. Si pas, il rédige aussi les « délibérations » (comprenez « autorisations ») du CSI, qui dribble allègrement l’APD. Jugé incontournable par le gouvernement, il lui prête aussi sa plume dès lors qu’il s’agit de rédiger un arrêté en extrême urgence mettant en jeu notre vie privée, comme l’arrêté royal qui permet à l’institut de santé publique Sciensano de centraliser toutes les données du traçage manuel et numérique.Retour ligne automatique
    Comme dans les pires romans dystopiques

    Le Soir a tenté, patiemment, de retisser tous les liens du « système Robben » mis en place depuis les années Dehaene. Et de reconstruire brique par brique ce Lego juridico-informatique, sans mode d’emploi. Qui s’apparente, au final, à une fusée à trois étages. Un : la conception de la tuyauterie de récolte et d’échange de données entre les administrations. Deux : sa validation par des autorités de contrôle, soit affaiblies, soit autoproclamées. Trois : sa mise en application, sans marché public, via son bras armé informatique, la Smals.

    Il reste un quatrième étage, qui semble relever des pires romans dystopiques : l’utilisation de nos données à d’autres fins que celles ayant justifié leur récolte. Exemple : l’accès à certains espaces publics aux seuls vaccinés. En croisant les données, rien de plus simple… Or, c’est précisément ce qui se trame, lancent en chœur plusieurs juristes et lanceurs d’alerte. Comme si l’Etat belge intégrait doucement les codes des régimes autoritaires, où la vie privée n’est qu’accessoire.

    Ce système qui, dans la foulée de deux plaintes déposées à la Commission européenne (une contre le CSI en juillet, une autre sur l’indépendance de l’APD en novembre), pourrait valoir à la Belgique de se faire épingler pour infraction grave au RGPD. Un peu comme Facebook ou Google. Sauf qu’ici, on parle d’un Etat, dont les outils d’intelligence artificielle apparaissent finalement tout aussi opaques. « A la différence que Facebook ou Google, vous avez encore le droit de ne pas les utiliser » ponctue Alexandra Jaspar.

    #données #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #APD-Belgique

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_