Données de vaccination : un « chèque en blanc » pour l’Etat
▻https://plus.lesoir.be/354908/article/2021-02-12/donnees-de-vaccination-un-cheque-en-blanc-pour-letat
L’Autorité de protection des données a rendu un avis très critique sur le texte organisant le traitement des données personnelles de vaccination. Il y voit un chèque en blanc pour l’Etat.
C’est un avis très attendu par les médecins généralistes et les mutuelles qui vient de tomber. L’Autorité de protection des données (APD) s’est prononcée sur le projet d’accord de coopération entre l’Etat fédéral et les entités fédérées concernant le traitement des données relatives aux vaccinations.
Afin de pouvoir lancer les invitations à la vaccination et organiser cette campagne, il est en effet nécessaire de recourir à des données personnelles. Il faut enregistrer les personnes devant se faire vacciner pour éviter qu’elles ne le soient deux fois, pour s’assurer du respect du schéma des deux doses, pour effectuer un suivi (pharmacovigilance)… Une base de données contenant les coordonnées de personnes avec des comorbidités (diabète, hypertension…) doit aussi être constituée afin de pouvoir les inviter prioritairement. Cela suppose des échanges de données personnelles très sensibles (car touchant la santé) avec ceux en charge de leur identification : les mutuelles et les médecins. Ces derniers demandent des garanties en matière de respect de la vie privée. Pas sûr que l’avis de l’APD les rassure. Il est plutôt critique, allant même jusqu’à parler de « chèque en blanc » pour les autorités. Le gendarme du respect de la vie privée demande à l’Etat de revoir sa copie.
Les critiques fondamentales déjà émises à la mi-décembre par l’APD lors de l’examen du cadre juridique préalable à l’accord se retrouvent en grande partie dans cet avis. La première concerne la définition des finalités visées par les enregistrements et traitements de données. Celles-ci doivent être précisées très clairement afin d’éviter que les données ne puissent être réutilisées par la suite pour d’autres motifs. L’APD constate un progrès par rapport à la première version mais note que certaines de ces finalités restent « toujours très larges et peu précises », comme « la prestation de soins de santé et de traitements », « le suivi et la surveillance post-autorisation », « l’information et la sensibilisation des utilisateurs de soins ». « Cela ne permet pas aux personnes concernées d’avoir une idée claire des traitements qui seront effectués ou des circonstances dans lesquelles ils ont été autorisés », peut-on lire. Alexandra Jaspar, directrice du centre de connaissance de l’APD, va plus loin, parlant d’une « porte ouverte permettant aux autorités de faire autre chose de ces données ».Retour ligne automatique
Un destinataire très vague
L’autre grande critique porte sur la liste des destinataires, c’est-à-dire les instances auxquelles les données à caractère personnel enregistrées pourront être transmises. Le texte mentionne « les instances ayant une mission d’intérêt public pour les finalités dont sont chargées ces instances ». C’est vague. De qui parle-t-on ? La Stib, la SNCB, bpost ont aussi des missions d’intérêt public. Le choix sera laissé à l’appréciation du fameux Comité de sécurité de l’information (CSI), un organe sous la coupe de Frank Robben, le monsieur « data » du gouvernement qui est à la tête de tout le projet informatique autour de la vaccination (voir notre dossier dans Le Soir du 11 février). L’APD estime que ce n’est pas au CSI de décider à qui ces données peuvent être transmises mais au Parlement, qui doit in fine valider l’accord de coopération.
Elle ne voit pas de raisons pour ne pas mentionner de manière précise les destinataires : « Étant donné que la vaccination est déjà en cours depuis 1 à 2 mois, il doit être possible de déterminer les flux de données nécessaires à cette fin vers des destinataires tiers. La formulation actuelle du projet d’accord de coopération constitue une sorte de chèque en blanc laissant ouvertes de larges possibilités de partage ultérieur des données avec des instances qui ne sont pas encore spécifiées, en vue de finalités qui ne sont pas strictement délimitées ». Alexandra Jaspar nous indique que « ce texte viole le principe de légalité qui précise que tous les éléments essentiels d’un traitement de données doivent être prévus par un texte de rang de loi ». Le gouvernement a néanmoins répondu à l’une des craintes de l’APD, en ajoutant dans l’exposé des motifs des références juridiques anti-discrimination afin que des personnes non vaccinées ne puissent pas être exclues de l’accès à certains services publics.
Médecins et mutuelles veulent des garanties
Reste à voir ce que le gouvernement va faire de cet avis purement consultatif. Va-t-il s’asseoir dessus comme cela a souvent été le cas ces derniers mois ? Du côté des médecins, les choses sont claires : « Nous voulons avoir l’assurance que si nous transmettons des données sur les patients à risque, tout cela rentre dans un cadre tout à fait légal, explique Thomas Orban, président de la Société scientifique de médecine générale. Il ne faudrait pas qu’on puisse se retourner contre nous par la suite. Si le texte n’est pas compatible avec le GDPR (le règlement européen sur la protection des données), je ne transmettrai rien du tout ». Même son de cloche du côté des mutuelles où l’on s’apprête à confectionner pour le compte de l’Etat des listes de personnes ayant des comorbidités en fonction des données de prescription qu’elles détiennent (médicaments consommés, traitements suivis…). « L’Etat doit tenir compte de cet avis et revoir sa copie », estime Pierre Cools, secrétaire général adjoint de la mutualité Solidaris.
##santé
