Comment l’Etat prend des libertés avec votre vie privée
▻https://plus.lesoir.be/350168/article/2021-01-21/comment-letat-prend-des-libertes-avec-votre-vie-privee
Si vous êtes sensible à l’utilisation de vos données personnelles, un article passé inaperçu dans l’arrêté ministériel « covid » du 12 janvier dernier devrait vous intéresser. Problème : il est impossible pour le citoyen de décoder sa portée. Des recours devant le Conseil d’État sont envisagés.
Le 8 janvier dernier, le Comité de concertation se passe de conférence de presse pour vous annoncer ce qui va changer dans les mesures prises pour lutter contre le covid. A la télé, on vous parle de la réouverture des auto-écoles et c’est à peu près tout. L’arrêté ministériel publié quatre jours plus tard au Moniteur introduit pourtant d’autres décisions. La prolongation des mesures exceptionnelles, comme le couvre-feu, jusqu’au 1er mars. Ainsi qu’un très discret « article 8 ». Quelques phrases, difficilement abordables pour un public non averti.
En écourtant un peu, voici ce qu’il contient : l’ONSS, l’Office national de sécurité sociale, en qualité de sous-traitant pour tous les services ou institutions chargées de la lutte contre le covid et de surveiller le respect des obligations prévues pour limiter la propagation du virus, peut désormais collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au covid, de contact, d’identification, de travail et de résidence relatives aux travailleurs, salariés et indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités.
Vous non plus, vous n’avez pas tout compris ? Pourtant, quand vous consentez à partager vos données avec un tiers, vous avez le droit de savoir exactement ce qu’il va en faire. On a donc tenté d’y voir plus clair. Attention, terrain miné.
Pas de loi, pas de chocolat
Premier réflexe : demander un effort de pédagogie aux auteurs. Pourquoi avoir ajouté cet article 8, quelle est l’intention poursuivie par les autorités ? Au cabinet de la ministre de l’Intérieur Annelies Verlinden (CD&V) – qui signe tous les arrêtés ministériels « covid » – on nous répond rapidement « qu’en réalité c’est ici le ministre de la Santé qui est en charge et, donc, qu’on n’est pas en mesure de nous répondre ». Au cabinet du ministre de la Santé, Frank Vandenbroucke (SP.A), on est « débordés » mais on nous revient finalement en dernière minute avant la publication du présent article : « La mesure avait déjà été introduite en août dernier. Elle a été élargie pour permettre aux services d’inspection sociale de vérifier le respect des règles sur le lieu de travail afin de contribuer à prévenir la propagation du virus. Bien entendu, dans le respect de la vie privée ».
Deuxième réflexe : sonder le milieu académique. À l’UMons, Anne-Emmanuelle Bourgaux, professeure de droit et constitutionnaliste, a justement mis en place un exercice hebdomadaire avec ses étudiants : le Labovir-IUS, observatoire juridique de la crise covid. « On est tombé de notre chaise. Cet article est volontairement vague, illisible pour le commun des mortels », explique-t-elle. « Ce genre de mesures doit impérativement être écrit dans un texte de loi ». Quand l’État traite des données à caractère personnel, il organise des ingérences dans la vie privée des citoyens. Celles-ci doivent en effet respecter des balises fixées notamment par la Convention européenne des droits de l’homme et par notre Constitution. En résumé, « les éléments essentiels » de traitement de données doivent être explicitement prévus dans une loi. « En l’absence de débat parlementaire public, d’exposé des motifs par la ministre de l’Intérieur et des avis des autorités de contrôle (le Conseil d’État et l’Autorité de protection des données, NDLR), la portée exacte de cet article est opaque ».
Ses étudiants ont fait l’exercice de « traçage » de la mesure : un texte similaire est effectivement déjà apparu dans un arrêté ministériel du 22 août, confirmé ensuite à deux reprises en octobre, mais il concernait uniquement les travailleurs détachés de certains secteurs d’activité. Désormais, sont concernés « tous les travailleurs salariés et indépendants ».
Deux recours envisagés
À l’Autorité de protection des données (APD), organe « gardien » de votre vie privée, on confirme : la surprise a été totale à la lecture, aucun avis préalable n’a été demandé par nos autorités. « On parle bien, entre autres, de données de santé, qui doivent être très protégées, de données massives, qui concernent ici des millions de citoyens et d’utilisations de ces données qui pourraient donner lieu à des traitements discriminatoires, ensuite », constate Alexandra Jaspar, directrice du centre de connaissances. « Car, avec ce texte, rien n’est interdit. C’est un chèque en blanc. ». L’APD tenait un conseil d’administration mardi notamment sur le sujet, la possibilité d’un recours en extrême urgence devant le Conseil d’État est étudiée par l’institution. La ligue des droits humains envisage, également, sur base d’arguments similaires, la même procédure.
Selon Elise Degrave, professeure de droit à l’UNamur et chercheuse en droit numérique, les pires suppositions sont aujourd’hui envisageables. « Faut-il comprendre qu’il y a là une rupture entre le discours politique et les actes concrets ? Initialement, le discours était : “donnez-nous vos données, nous en avons besoin pour lutter contre le virus”. Aujourd’hui, on se demande si l’on va réutiliser tout ou partie de ces données pour “surveiller le respect des obligations”. Il y aurait là un détournement de la finalité initiale : on passe d’une finalité à l’avantage du citoyen – aider le citoyen à sortir de la crise – à une finalité de contrôle de celui-ci ».
L’utilisation du « datamatching » et du « datamining » inquiète particulièrement la chercheuse (lire par ailleurs).
« Tout est balisé »
Le patron de l’ONSS, Koen Snijders, lui, se veut rassurant, comme le gouvernement. « Tout est balisé et on ne fait pas réellement ce qui est écrit dans l’arrêté. Actuellement, nous manipulons très peu de données sensibles, donc de santé, et sur la supervision d’un médecin. Nous utilisons effectivement également les données des “passenger locator form” (PLF) mais dans un autre cadre, bien clair également ».
Selon ses explications et celles du cabinet Vandenbroucke, l’ONSS reçoit de Sciensano les données « cas index », soit des personnes testées positives et se charge ensuite de les « croiser » avec les données « travail » (qu’il est le seul à posséder). « De cette manière, on peut transmettre l’information aux seuls organismes régionaux en charge du traçage : si l’on remarque plusieurs cas positifs sur le même lieu de travail et donc un potentiel cluster. Les données reçues sont détruites après deux semaines ».
Concernant les informations contenues dans les PLF, « elles sont aussi croisées avec les données “travail”, si l’on remarque que des personnes sont sur le lieu de travail alors qu’elles devraient être en quarantaine, car, de retour de zone rouge, nous envoyons des inspecteurs sur place. Notre mission est préventive. Si la personne ne collabore pas, nous prévenons les autorités ou la police locale. Ces données sont conservées chez nous mais elles ne sont pas transmises actuellement de manière systématique à d’autres organismes ».
Ces procédés seraient prévus explicitement dans des délibérations du « Comité de sécurité de l’information » (CSI). « L’arrêté n’est que l’étape 1. L’étape 2, ce sont les décisions du CSI, c’est lui qui décide en réalité ce que l’on peut faire et ne pas faire, qui pose les limites », assure Koen Snijders.
Le Comité de sécurité de l’information est un organe en charge, depuis 2018, d’autoriser ou non le partage de données personnelles détenues par les autorités publiques. Il s’agit d’une assemblée non élue, constituée contre l’avis du Conseil d’État et qui a déjà fait l’objet de plaintes. « On ne sait pas sur base de quels critères les décisions sont prises et elles ne sont pas publiées au Moniteur », précise Elise Degrave, qui a étudié en profondeur son fonctionnement.
Nous avons cherché, sur le site internet de l’organisme et ailleurs sur le web, la délibération à laquelle l’administrateur général de l’ONSS fait référence, sans succès. La plus récente concernant l’utilisation des données « covid » par l’ONSS remonte à septembre dernier, elle fait référence à l’ancienne disposition sur les travailleurs détachés. « La dernière délibération n’a pas encore été publiée mais elle a bien eu lieu », nous assure-t-on au cabinet Vandenbroucke.
Difficile, en résumé, pour le citoyen, même attentif, de comprendre à quelle sauce sont actuellement et seront à l’avenir cuisinées ses données personnelles. À sa disposition : un article d’un arrêté ministériel dont on ne lui a pas parlé et dont « les contours sont volontairement flous », selon plusieurs spécialistes. Ainsi qu’une délibération d’un organe peu connu, introuvable en ligne.Retour ligne automatique
Des algorithmes dont on ne sait rien
Amandine Cloot
L’article 8 fait référence à deux anglicismes : le « datamatching » et la « datamining ». Soit des techniques algorithmiques pointues, difficile à appréhender par le citoyen.
Le premier procédé permet de rassembler au même endroit des tonnes de données et de les croiser. Le second a pour but d’extraire, de cette masse de données croisées, des informations nouvelles. « Ces techniques sont déjà utilisées par l’ONSS pour lutter contre la fraude sociale. L’outil qui ne peut pas être improvisé existe (cette base de données répond à l’acronyme OASIS, NDLR). Les données covid vont-elles y être mélangées ? Seront-elles ensuite conservées ? », s’interroge Elise Degrave, professeure de droit à l’UNamur et chercheuse en droit numérique.
Dans le cadre de la lutte contre la fraude sociale, ces deux procédés permettent en tout cas de créer des profils type de fraudeurs. Quand quelqu’un « matche » avec ces profils, il est alors fiché et contrôlé ensuite par l’administration.
Bien sûr, la transparence des algorithmes utilisés est ici essentielle. L’objet mathématique est toujours créé par un humain : il peut être biaisé. Même si cet humain représente les pouvoirs publics. En février dernier, aux Pays-Bas, un tribunal a interdit l’utilisation de ces deux techniques par l’État. Raison ? Des études montraient que l’algorithme développé ciblait en priorité les quartiers pauvres et migrants pour lutter contre la fraude sociale. Le juge a estimé qu’il était effectivement impossible de s’assurer, en raison de leur non-transparence, que les outils en place n’étaient pas « corrompus ».
#algorithme #manipulation #données #COVID-19 #profiling #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)
##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique
