#apd-belgique

  • Comment l’Etat joue avec les données des Belges
    https://plus.lesoir.be/354396/article/2021-02-11/comment-letat-joue-avec-les-donnees-des-belges

    Le traitement de nos données à caractère personnel par les autorités publiques est devenu une usine à gaz opaque. Enquête dans les rouages de la gestion de notre vie privée.

    Tracing, testing, données de vaccination et de localisation… Jamais notre vie privée n’aura été à ce point sous pression. La confiance de la population se heurte à des montagnes de questions : quelles sont les données dont dispose l’Etat, dans quel but, sont-elles en sécurité, seront-elles détruites ou réutilisées à des fins de surveillance ou de profilage, qui contrôle… Pour y voir clair, Le Soir a mené l’enquête. Et tenté, patiemment, de reconstituer toute la chaîne de traitement de nos données à caractère personnel par les autorités publiques. Depuis l’écriture des lois jusqu’à la mise en place des bases de données centralisées et la conception des algorithmes, en passant par le contrôle de l’Autorité de protection des données.

    Le résultat est sidérant. Il s’apparente à une usine à gaz tentaculaire où tous les garde-fous démocratiques pour garantir le respect de notre vie privée ont été écornés, ignorés, voire neutralisés. Une somme inouïe d’incompétences, d’erreurs de jugement, de fautes de gouvernance, de précipitation, d’interprétations tarabiscotées de règlements ou d’omniscience mégalomaniaque a conduit à échafauder, depuis les années 90, un système de gestion de la vie privée qui pourrait valoir à la Belgique une condamnation pour violation au RGPD. Le genre de claque que la Commission réserve plutôt aux Gafa.Retour ligne automatique
    Un « ovni institutionnel »

    On y découvre, en vrac, un ovni institutionnel, le Comité de sécurité de l’information (CSI) qui s’est substitué au Parlement pour autoriser les administrations à traiter nos données, en dehors des radars du Conseil d’Etat et de l’Autorité de protection des données (APD). On aperçoit un chien de garde de la vie privée, l’APD, qui aurait oublié de mordre les autorités. Tétanisé par de sérieux conflits d’intérêts (mettant en péril sa sacro-sainte indépendance), il est aussi « bypassé » par le CSI ou les autorités flamandes qui ne le consultent plus. Dans la salle des machines, on retrouve la Smals, véritable « filiale informatique » de l’Etat à qui l’on confie, sans marchés publics transparents, les bases de données centralisées ou les algorithmes de traitement de nos données.

    Le Parlement, plutôt muet sur la question (surtout sur les bancs flamands), a décidé de faire « auditer » l’APD par la Cour des comptes. Mais aujourd’hui, des juristes, des experts en protection des données ou en intelligence artificielle, des lanceurs d’alerte, des membres de la société civile (comme Amnesty ou la Ligue des droits humains) tirent la sonnette d’alarme. Le problème dépasse de loin la seule Autorité et touche l’ensemble des rouages de la démocratie. Aux dépens de libertés fondamentales que le Belge risque bien de devoir mettre pour longtemps entre parenthèses.

    #données #COVID-19 #santé #surveillance #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Vie privée : « L’indépendance de l’Autorité de protection des données n’est plus garantie », alerte sa directrice
    https://www.lesoir.be/356540/article/2021-02-22/vie-privee-lindependance-de-lautorite-de-protection-des-donnees-nest-plus

    Alexandra Jaspar est inquiète de voir l’Etat « en train de collecter une quantité impressionnante de données qu’il stocke sans baliser les possibilités d’utilisation et de réutilisation futures de ces données ».

    L’indépendance de l’Autorité de protection des données (APD) n’est plus garantie, a affirmé en substance sa directrice, Alexandra Jaspar, lundi, dans l’émission Matin Première sur la RTBF. « On doit contrôler l’Etat mais comment faire quand, parmi nous, nous avons des responsables qui travaillent pour l’Etat ? », s’est-elle notamment interrogée.

    « Au sein de l’organe qui rend des avis sur les projets de loi, nous sommes sept. Sur ce nombre, quatre personnes travaillent pour l’Etat et sont donc juges et parties », a-t-elle expliqué.

    « Nous avons écrit une première fois au Parlement en septembre pour l’avertir que nous étions infiltrés par ceux que nous sommes censés contrôlés. Il n’y a eu aucune réaction. En janvier, nous étions toujours dans la même situation. Nous avons donc réécrit au Parlement en lui demandant de lever les mandats illégaux. Sa seule réaction a alors été de réclamer un audit de la Cour des comptes », a poursuivi la responsable en faisant par ailleurs part de son inquiétude face à la gestion des données collectées par l’Etat.

    « Je suis inquiète et cela fait plusieurs mois que je le suis. Il est tout à fait normal que l’Etat récolte certaines de nos données mais ce qui nous inquiète, c’est que l’Etat est en train de collecter une quantité impressionnante de données qu’il stocke sans baliser les possibilités d’utilisation et de réutilisation futures de ces données », a-t-elle pointé.

    « On se retrouve donc avec un énorme stock de données et l’Etat ne nous dit pas précisément ce qui pourra en être fait », avec la possibilité que cela conduise à de multiples « dérives », a ajouté Alexandra Jaspar.

    Cette dernière a enfin regretté que l’APD ne soit pas toujours consultée et que lorsqu’elle l’est « ses avis ne sont généralement pas suivis ».

    #données #COVID-19 #santé #APD-Belgique

    ##santé

  • Vaccination : 2.000 médecins dénoncent les dérives graves en matière de vie privée
    https://plus.lesoir.be/356318/article/2021-02-20/vaccination-2000-medecins-denoncent-les-derives-graves-en-matiere-de-vie

    Dans une lettre ouverte adressée aux autorités, la coopérative Medispring refuse « de participer à l’assujettissement des médecins, bafoués dans leur relation thérapeutique avec leur patient ». Elle demande, en urgence, d’ajuster le système afin de respecter le secret médical, la vie privée et le consentement libre et éclairé des patients.

    Après s’être concentrée sur les groupes dits « prioritaires », la campagne de vaccination rentrera d’ici peu dans sa phase 1B, celle qui concerne les plus de 65 ans et les personnes « à risques », présentant des comorbidités. La stratégie des autorités a été décrite dans un accord de coopération entre le fédéral et les entités fédérées. Dès lors que des données à caractère sensible doivent être échangées entre les différentes couches de la lasagne institutionnelle, une « supra-loi » de ce type est en effet nécessaire. Ce fut le cas pour le « tracing ». C’est le cas, à présent, pour la vaccination. Et à chaque fois, les dispositions en matière de respect de la vie privée ont été lourdement critiquées.

    Dans le cas des vaccins, il est ainsi prévu que l’Etat centralise et croise les données fournies d’une part par les médecins (soit des listes de patients à risques établies sur base de leur dossier médical) et d’autre part par les mutuelles (sur base des données de prescription). En clair, l’Etat pourrait donc être en mesure de déterminer si une personne a connu, ou connaît, des soucis de santé. Ces informations, strictement protégées par le secret médical, permettraient aux autorités d’envoyer les convocations pour les prises de rendez-vous.

    Dans son avis, révélé dans Le Soir, l’Autorité de protection des données (APD) parle d’un « chèque en blanc » pour les autorités. « L’Etat doit tenir compte de cet avis et revoir sa copie », confiait Pierre Cools, secrétaire général adjoint de la mutualité Solidaris. De son côté, Thomas Orban, président de la Société scientifique de médecine générale prévenait : « Si le texte n’est pas compatible avec le RGPD, je ne transmettrai rien du tout ».

    Cette fois, c’est Medispring, une société coopérative qui développe un Dossier Médical Informatisé utilisé par plus de 2.000 soignants, qui monte au créneau. Dans une lettre ouverte adressée à Alexandre De Croo, Frank Vandenbroucke, aux présidents de partis…, ils tirent à boulets sur la stratégie mise en place. « Nous ne pouvons accepter de participer à cet assujettissement des médecins, bafoués dans leur relation thérapeutique avec leur patient », écrivent-ils. « Les médecins ont ici un devoir moral pour préserver la confiance des patients et les données qu’ils partagent avec eux. Nous demandons que les autorités ajustent en urgence le système qu’elles imposent à la profession médicale afin de respecter le secret médical, la vie privée et le consentement libre et éclairé des patients. »
    #COVID-19 #données #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #consentement (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Gegevensbeschermingsautoriteit erg kritisch over verzameling data voor vaccinatie
    https://www.hln.be/binnenland/gegevensbeschermingsautoriteit-erg-kritisch-over-verzameling-data-voor-vaccinati

    De Gegevensbeschermingsautoriteit (GBA) laat zich in een advies erg kritisch uit over de verzameling van persoonlijke gegevens in het kader van de vaccinatiecampagne. Dat schrijft Le Soir vandaag. De privacycommissie sprak zich uit over het ontwerpakkoord rond de samenwerking van de federale overheid en de deelstaten over de verwerking van de gegevens. Om de uitnodigingen voor een vaccinatie te kunnen versturen en de vaccinatiecampagne te kunnen organiseren, moeten de overheden beroep (...)

    #données #COVID-19 #santé #APD-Belgique

    ##santé

  • Données de vaccination : un « chèque en blanc » pour l’Etat
    https://plus.lesoir.be/354908/article/2021-02-12/donnees-de-vaccination-un-cheque-en-blanc-pour-letat

    L’Autorité de protection des données a rendu un avis très critique sur le texte organisant le traitement des données personnelles de vaccination. Il y voit un chèque en blanc pour l’Etat.

    C’est un avis très attendu par les médecins généralistes et les mutuelles qui vient de tomber. L’Autorité de protection des données (APD) s’est prononcée sur le projet d’accord de coopération entre l’Etat fédéral et les entités fédérées concernant le traitement des données relatives aux vaccinations.

    Afin de pouvoir lancer les invitations à la vaccination et organiser cette campagne, il est en effet nécessaire de recourir à des données personnelles. Il faut enregistrer les personnes devant se faire vacciner pour éviter qu’elles ne le soient deux fois, pour s’assurer du respect du schéma des deux doses, pour effectuer un suivi (pharmacovigilance)… Une base de données contenant les coordonnées de personnes avec des comorbidités (diabète, hypertension…) doit aussi être constituée afin de pouvoir les inviter prioritairement. Cela suppose des échanges de données personnelles très sensibles (car touchant la santé) avec ceux en charge de leur identification : les mutuelles et les médecins. Ces derniers demandent des garanties en matière de respect de la vie privée. Pas sûr que l’avis de l’APD les rassure. Il est plutôt critique, allant même jusqu’à parler de « chèque en blanc » pour les autorités. Le gendarme du respect de la vie privée demande à l’Etat de revoir sa copie.

    Les critiques fondamentales déjà émises à la mi-décembre par l’APD lors de l’examen du cadre juridique préalable à l’accord se retrouvent en grande partie dans cet avis. La première concerne la définition des finalités visées par les enregistrements et traitements de données. Celles-ci doivent être précisées très clairement afin d’éviter que les données ne puissent être réutilisées par la suite pour d’autres motifs. L’APD constate un progrès par rapport à la première version mais note que certaines de ces finalités restent « toujours très larges et peu précises », comme « la prestation de soins de santé et de traitements », « le suivi et la surveillance post-autorisation », « l’information et la sensibilisation des utilisateurs de soins ». « Cela ne permet pas aux personnes concernées d’avoir une idée claire des traitements qui seront effectués ou des circonstances dans lesquelles ils ont été autorisés », peut-on lire. Alexandra Jaspar, directrice du centre de connaissance de l’APD, va plus loin, parlant d’une « porte ouverte permettant aux autorités de faire autre chose de ces données ».Retour ligne automatique
    Un destinataire très vague

    L’autre grande critique porte sur la liste des destinataires, c’est-à-dire les instances auxquelles les données à caractère personnel enregistrées pourront être transmises. Le texte mentionne « les instances ayant une mission d’intérêt public pour les finalités dont sont chargées ces instances ». C’est vague. De qui parle-t-on ? La Stib, la SNCB, bpost ont aussi des missions d’intérêt public. Le choix sera laissé à l’appréciation du fameux Comité de sécurité de l’information (CSI), un organe sous la coupe de Frank Robben, le monsieur « data » du gouvernement qui est à la tête de tout le projet informatique autour de la vaccination (voir notre dossier dans Le Soir du 11 février). L’APD estime que ce n’est pas au CSI de décider à qui ces données peuvent être transmises mais au Parlement, qui doit in fine valider l’accord de coopération.

    Elle ne voit pas de raisons pour ne pas mentionner de manière précise les destinataires : « Étant donné que la vaccination est déjà en cours depuis 1 à 2 mois, il doit être possible de déterminer les flux de données nécessaires à cette fin vers des destinataires tiers. La formulation actuelle du projet d’accord de coopération constitue une sorte de chèque en blanc laissant ouvertes de larges possibilités de partage ultérieur des données avec des instances qui ne sont pas encore spécifiées, en vue de finalités qui ne sont pas strictement délimitées ». Alexandra Jaspar nous indique que « ce texte viole le principe de légalité qui précise que tous les éléments essentiels d’un traitement de données doivent être prévus par un texte de rang de loi ». Le gouvernement a néanmoins répondu à l’une des craintes de l’APD, en ajoutant dans l’exposé des motifs des références juridiques anti-discrimination afin que des personnes non vaccinées ne puissent pas être exclues de l’accès à certains services publics.

    Médecins et mutuelles veulent des garanties

    Reste à voir ce que le gouvernement va faire de cet avis purement consultatif. Va-t-il s’asseoir dessus comme cela a souvent été le cas ces derniers mois ? Du côté des médecins, les choses sont claires : « Nous voulons avoir l’assurance que si nous transmettons des données sur les patients à risque, tout cela rentre dans un cadre tout à fait légal, explique Thomas Orban, président de la Société scientifique de médecine générale. Il ne faudrait pas qu’on puisse se retourner contre nous par la suite. Si le texte n’est pas compatible avec le GDPR (le règlement européen sur la protection des données), je ne transmettrai rien du tout ». Même son de cloche du côté des mutuelles où l’on s’apprête à confectionner pour le compte de l’Etat des listes de personnes ayant des comorbidités en fonction des données de prescription qu’elles détiennent (médicaments consommés, traitements suivis…). « L’Etat doit tenir compte de cet avis et revoir sa copie », estime Pierre Cools, secrétaire général adjoint de la mutualité Solidaris.

    #données #santé #APD-Belgique

    ##santé

  • La Smals, le bras armé informatique de l’Etat
    https://plus.lesoir.be/354297/article/2021-02-10/la-smals-le-bras-arme-informatique-de-letat

    Pour mettre en place ses banques de données centralisées (chez Sciensano) et ses outils algorithomiques, l’Etat peut compter sur une ASBL, dirigée par Frank Robben. A l’abri des appels d’offres. On récapitule. Dès les années 90, Frank Robben, fonctionnaire visionnaire (il flaire avant tout le monde le potentiel du « Big Data »), obsédé par la simplification administrative, tisse une « administration en réseaux ». Naissent alors la Banque carrefour de la Sécurité sociale, la plateforme eHealth… Une (...)

    #Coronalert #manipulation #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #domination #données #COVID-19 #santé (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##APD-Belgique

  • Le CSI, le club échangiste des gestionnaires de données
    https://plus.lesoir.be/354323/article/2021-02-10/le-csi-le-club-echangiste-des-gestionnaires-de-donnees

    Qui autorise les traitements de nos données par les administrations ? Pas le parlement. Qui en contrôle l’usage ? Personne. Un Comité de sécurité de l’information fait le job. A l’abri du contrôle démocratique, du Conseil d’Etat et de l’APD. Qui autorise les traitements de nos données par les administrations ? Pas le parlement. Qui en contrôle l’usage ? Personne. Un Comité de sécurité de l’information fait le job. A l’abri du contrôle démocratique, du Conseil d’Etat et de l’APD. Frank Robben a son rond de (...)

    #Coronalert #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #COVID-19 #santé #manipulation (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##APD-Belgique

  • L’APD, le chien de garde qui ne mord pas
    https://plus.lesoir.be/354315/article/2021-02-10/lapd-le-chien-de-garde-qui-ne-mord-pas

    L’Autorité de protection des données doit sanctionner l’Etat en cas d’infraction au RGPD (comme c’est le cas). Et pourtant, elle montre à peine les crocs. Son indépendance est solidement mise en cause. Les libertés, c’est comme du dentifrice, une fois que ça sort du tube, ça n’y rentre plus jamais. » Elise Degrave, professeur de droit à l’UNamur, a le sens de l’image qui claque. En termes juridiques, « l’effet cliquet des droits fondamentaux » parle sans doute moins au citoyen lambda. Pour en mesurer la (...)

    #manipulation #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Chacun chez soi. Et la vie privée sera bien gardée
    https://plus.lesoir.be/354411/article/2021-02-11/chacun-chez-soi-et-la-vie-privee-sera-bien-gardee

    Les données personnelles nous appartiennent. C’est aussi simple que cela. Si l’Etat les sollicite, notamment pour lutter contre un coronavirus, c’est son droit. Mais il a aussi un devoir : ne pas piller nos données.

    De son registre de naissance à son acte de décès, le citoyen n’a pas le choix : il livre la moindre trace de sa vie administrative à l’Etat qui, en échange de sa confiance, lui promet une loyauté sans faille sur leur usage. Le respect strict de notre vie privée constitue même l’une des différences fondamentales entre un Etat démocratique et un régime totalitaire. En Belgique, ce pacte est à deux doigts de la rupture. S’il n’a d’ailleurs pas déjà cédé. Le flop du traçage est un signal d’alerte fort : quand la relation de confiance est lézardée par la suspicion permanente, doit-on s’étonner que certains hésitent à deux fois avant de balancer leurs données de localisation ou de santé ? Sans garantie aucune sur leur réutilisation par l’une ou l’autre administration (fiscale, par exemple) à des fins de profilage ou de surveillance.

    Les données personnelles nous appartiennent. C’est aussi simple que cela. Et aussi clair qu’un article de la Constitution (le 22e). Si l’Etat les sollicite, notamment pour lutter contre un coronavirus, c’est son droit. Mais il a aussi un devoir : ne pas piller nos données. C’est non seulement illégal, mais c’est surtout dangereux : quand on grignote les libertés fondamentales, elles ne ressuscitent pas par la magie d’un hypothétique arrêté royal qui décréterait un jour la fin de la guerre contre le covid. L’Etat a fauté : en sacralisant l’efficacité, il a tailladé la vie privée. Alors que tous les juristes rappellent avec force que les deux ne sont pas contradictoires. Ces entorses ne datent pas d’hier. L’enquête du Soir sur la gestion de nos données à caractère personnel, depuis l’écriture des textes législatifs jusqu’à la conception de gigabases de données centralisées, en passant par le contrôle de l’Autorité de protection des données (APD), montre que les remparts démocratiques se sont fissurés. Et ce depuis les années Dehaene quand, petit à petit, s’est échafaudée une usine à gaz babylonienne et tentaculaire. Pour ne pas dire opaque, plus encore que ne le sont les algorithmes des Gafa.

    Conflits d’intérêts notoires, des organismes qui se substituent au Parlement (et leurs décisions, aux lois), un Conseil d’Etat hors jeu. Ou encore une Autorité de protection des données instrumentalisée, « bypassée » et affaiblie. Qui ne sanctionne pas l’Etat. Pas plus que le Parlement ne monte au créneau. Ou alors en décrétant un audit de l’APD par… la Cour des comptes (pourquoi pas l’Afsca tant qu’à faire ?), comme si la vie privée était une variable de marché. Quant à Mathieu Michel, secrétaire d’Etat en charge du dossier, il annonce un groupe de travail amené à proposer une révision de la loi sur la vie privée, la énième du genre. La réponse est pourtant si simple : respecter la loi, exactement l’inverse de ce que l’Etat ne fait plus en matière de vie privée. Un pouvoir exécutif qui ne s’assoit pas sur les institutions, un vrai débat parlementaire sur l’usage de nos données, une Autorité qui s’assure que tout est d’équerre, des marchés publics transparents, ouverts au monde académique, pour les algorithmes… Bref, chacun chez soi et la vie privée sera bien gardée.

    #Coronalert #manipulation #données #COVID-19 #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Autorité de protection des données : « Ne soyons pas naïfs, notre vie privée est sous pression »
    https://plus.lesoir.be/352768/article/2021-02-03/autorite-de-protection-des-donnees-ne-soyons-pas-naifs-notre-vie-privee-

    « Il ne faudrait pas que les mesures mettant en péril notre vie privée subsistent après la crise. » Pour la première fois, les patrons de l’Autorité de protection des données (APD) défendent leur bilan, sur fond d’intenses conflits internes et de critiques.

    Traçage, collecte massive de données, contrôle de quarantaine, « Passenger location form »… La crise covid a mis la vie privée à rude épreuve. Elle a aussi mis un coup de projecteur sur la jeune Autorité de protection des données (APD) mise en place en 2019 dans la foulée du Règlement général sur la protection des données (RGPD). Au four et au moulin, notamment dans un gros dossier l’opposant à Google, l’ex-Commission de la vie privée a aussi été ébranlée par de solides conflits internes comme le révélaient Le Soir et Knack le 15 octobre. Une lettre au vitriol, adressée au Parlement par deux directrices de l’APD (en écho à d’autres signaux d’alarme activés par la Ligue des droits humains et plusieurs juristes) dénonçait une « institution inopérante », « vidée de sa substance », minée par de « graves soucis d’indépendance » et « instrumentalisée » par le politique.

    Pour la première fois, David Stevens, son président, et Hielke Hijmans, directeur de la Chambre contentieuse, répondent aux accusations pour Le Soir et Knack. Et défendent fermement le bilan de cette jeune institution. « Jamais la vie privée des 11 millions de Belges n’a été aussi bien protégée », assènent-ils.

    Dites-nous, l’APD fonctionne-t-elle comme elle devrait ?

    Hielke Hijmans : Le bilan est positif. On est passé d’une autorité qui rendait surtout des avis à une véritable autorité de contrôle, qui peut donc sanctionner. Est-ce que ça va assez vite ? Non, je ne crois pas. On met en place une jurisprudence qui donne une base juridique cohérente au citoyen. Je regrette juste que, en raison des volumes énormes de dossiers, nous ne soyons pas capables de traiter les affaires dans un délai acceptable. C’est dû aux procédures légales et au budget. On doit trouver des solutions.

    Le 28 janvier, on célébrait la Journée internationale de la protection des données ? Un jour noir ?

    David Stevens : Oui, parce que le coronavirus et toujours là et que des gens meurent. Mais pas pour la protection de la vie privée. Est-ce que cela veut dire que tous les problèmes sont résolus ? Non, pas du tout. On aurait pu faire plus et mieux. Mais nous protégeons la vie privée des gens de manière plus efficace qu’avant.

    Vos sanctions sont très souvent contestées en appel (devant la Cour des marchés). C’est le cas pour les amendes de 20.000 euros à Proximus et de 600.000 à Google infligées pour non-respect du RGPD… Quel est le souci ?

    H.H. : C’est surtout pour des questions de procédure qu’elles sont annulées. Les conditions que la Cour des marchés nous impose sont assez élevées. Cela nous demande d’être vigilant. Ces entreprises ont des moyens illimités pour contester nos décisions.

    Vous dites que les procédures sont trop lourdes. Le RGPD est inapplicable ?

    H.H. : En 2020, on a eu plus ou moins 600 plaintes ici en Belgique. On doit les traiter une par une, d’une manière « diligente », comme dit la loi. L’APD a des compétences énormes. On peut imposer des sanctions de plusieurs millions. Cela justifie des procédures très formelles. Mais je crois, oui, que de temps en temps, les procédures sont trop lourdes, même pour les petits cas. On travaille sur leur allégement en Belgique.

    Selon vous, ce n’était pas un jour noir pour la protection des données. Vous niez que notre vie privée est plus que jamais sous pression ?

    DS : Ne soyons pas naïfs, je ne dis pas que notre vie privée n’est pas sous pression. Je vous donne un exemple. Au début de la crise sanitaire, Philippe De Backer et Maggie De Block (NDLR, ex-ministres de l’Agenda digital et de la Santé, Open VLD) se sont demandés si on pouvait utiliser les données télécoms pour en faire un indicateur de mobilité. A l’époque, cela paraissait comme un problème compliqué. Rétrospectivement, la question est en réalité facile (car les données sont totalement anonymes). Mais quand je lis dans la presse ce que certains veulent faire, comme envoyer les données des personnes en quarantaine aux bourgmestres (le nom, l’adresse et la période de quarantaine)…

    C’est cela, votre ligne rouge ?

    DS : La crise corona évolue de jour en jour. Nous sommes peut-être au début d’une troisième vague. Donc, même si je dis que la ligne rouge est ici, il se pourrait que d’ici deux ou trois jours nous soyons confrontés à des décisions que l’on n’imaginait pas il y a peu de temps. Entre vie privée et santé publique, ce n’est jamais noir ou blanc. Il faut trouver un équilibre. Et c’est souvent du gris. C’est dommage, peut-être, mais c’est la vie.

    Si on ne regardait cette crise que sous l’aspect vie privée, c’est simple : rien ne se serait autorisé. Pas d’application corona, pas de transmission de données aux bourgmestres, pas de registre d’infections, pas de registre à Sciensano… Mais nous devons également prendre en compte d’autres intérêts, à savoir la protection de la vie privée dans son contexte. Parce que ces traitements de données servent également un but. Et nous devons également tenir compte de cet objectif.

    Vous savez, le respect de la quarantaine pourrait être vérifié sur la base des données de télécommunications. C’est techniquement possible. Il suffirait de demander les données aux opérateurs télécoms. Mais j’espère que ce jour ne viendra pas. Le cauchemar, pour moi, serait encore pire. A long terme, on ne serait pas loin de la situation en Chine, où vous êtes surveillé pour votre contrat social. Et perdez votre emploi si vous passez le feu rouge.

    HH : Je suis d’accord avec ça. Il y a autre chose qui est essentiel, et je l’ai vu au cours de toutes ces années : quand ce genre de mesures est imposé, elles restent simplement en place.

    Vous comprenez donc que les gens s’inquiètent de l’impact de certaines mesures corona sur leur vie privée (tracing, données de vaccination, déplacements à l’étranger…) ? Mais êtes-vous entendus ? Ou même, consultés ?

    DS : Attendez… Pour la troisième vague, le variant britannique… Je ne défends pas du tout le gouvernement ou qui que ce soit. Ce à quoi nous sommes attentifs, c’est le bon équilibre. Je n’accepte pas l’insinuation selon laquelle on mettrait de côté l’APD. Ou qu’on laisserait tranquillement travailler le gouvernement. Oui, évidemment, on trouve que c’est problématique qu’après un an, il n’y ait pas encore une loi Pandémie. Nous sommes en train de rechercher si oui ou non on doit, on veut, réagir devant les instances judiciaires.

    Dans quels cas, par exemple ?

    DS : Plusieurs dossiers sont sous nos radars. Comme la possibilité (NDLR, en Flandre) de transmettre les données de quarantaine aux bourgmestres, ou l’arrêté ministériel du 12 janvier qui donne à l’ONSS des pouvoirs étendus pour partager des données personnelles avec à peu près n’importe qui. Après un avis externe d’un cabinet d’avocats spécialisé, notre comité de direction a décidé d’envoyer un avertissement clair dans une lettre à toutes les autorités de notre pays. Si certaines mesures ne sont pas corrigées, nous pouvons toujours décider de saisir les tribunaux. Si la mesure est déclarée nulle et non avenue, le transfert ne peut plus avoir lieu.

    Nous sommes également préoccupés par la situation à Bruxelles. Le bourgmestre d’Etterbeek (NDLR, Vincent De Wolf, MR) a mis en demeure l’administration bruxelloise dans le but d’obtenir les données des citoyens contraints à la quarantaine. Mais il n’existe aucune base légale pour cela. Nous avons donc ouvert un fichier de surveillance et demandé des informations complémentaires.

    La demande de Vincent De Wolf se calque sur ce qui se fait déjà en Flandre…

    DS : Oui, en Flandre, il est possible de transmettre les données de quarantaine aux bourgmestres. Nous enquêtons également actuellement sur cette affaire. Mais la Flandre a adopté un décret à ce sujet en décembre, qui renforce l’application des mesures de quarantaine. Nous pouvons également faire appel au Conseil d’Etat contre cela. A Bruxelles, il n’y a aucune base réglementaire qui permet à un bourgmestre de mettre en demeure une administration régionale pour lui fournir ces informations.

    Vous pourriez… N’avez-vous pas été consultés ?

    DS : Non, dans aucun des trois cas (NDLR, arrêté ministériel, données de quarantaine en Flandre et à Etterbeek). Alors que c’était en fait obligatoire. Et dans d’autres cas, le gouvernement a ignoré nos conseils. Par exemple, nous avons estimé qu’une base de données centrale à Sciensano contenant toutes les données corona, ce n’est pas une bonne idée.Retour ligne automatique
    Analyse : crise d’Autorité

    Ph.L.

    Nul doute que cet entretien en laissera plus d’un sur sa faim : juristes, défenseurs des droits humains, certains au sein même de l’APD, bref, tous ceux qui, depuis des mois, tirent la sonnette d’alarme sur les faiblesses de cette institution majeure de notre démocratie. Difficile de leur donner tort. David Stevens et Hielke Hijmans défendent avec force un bilan marqué sous le signe de la « proactivité », plaident les « lourdeurs du RGPD » ou la complexité du contexte sanitaire. Ce n’est pas faux. Mais ils ne rassurent pas. En particulier sur la capacité de la gardienne de la vie privée à assumer ses missions. Avec abnégation. Ils bottent en touche. Les soucis d’indépendance ? « C’est le Parlement qui nomme les membres. » Le « bypass » de l’autorité flamande ? Du pipeau. Les problèmes internes ? Des conflits interpersonnels… Concernant sa participation à la « Task Force Corona », David Stevens relève lui-même ce qu’on lui reproche : donner son avis sur un texte qu’il a lui-même contribué à rédiger. Peu rassurant, aussi, cette idée que la vie privée serait en balance avec la santé publique. Ni la loi, ni le RGPD ne prévoient de « zone grise ». En matière de protection des données, tout est possible à partir du moment où c’est justifié, expliqué et contrôlable. C’est précisément ce qu’il leur était demandé dans cet entretien.

    #Coronalert #contactTracing #géolocalisation #manipulation #données #COVID-19 #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Comment l’Etat prend des libertés avec votre vie privée
    https://plus.lesoir.be/350168/article/2021-01-21/comment-letat-prend-des-libertes-avec-votre-vie-privee

    Si vous êtes sensible à l’utilisation de vos données personnelles, un article passé inaperçu dans l’arrêté ministériel « covid » du 12 janvier dernier devrait vous intéresser. Problème : il est impossible pour le citoyen de décoder sa portée. Des recours devant le Conseil d’État sont envisagés.

    Le 8 janvier dernier, le Comité de concertation se passe de conférence de presse pour vous annoncer ce qui va changer dans les mesures prises pour lutter contre le covid. A la télé, on vous parle de la réouverture des auto-écoles et c’est à peu près tout. L’arrêté ministériel publié quatre jours plus tard au Moniteur introduit pourtant d’autres décisions. La prolongation des mesures exceptionnelles, comme le couvre-feu, jusqu’au 1er mars. Ainsi qu’un très discret « article 8 ». Quelques phrases, difficilement abordables pour un public non averti.

    En écourtant un peu, voici ce qu’il contient : l’ONSS, l’Office national de sécurité sociale, en qualité de sous-traitant pour tous les services ou institutions chargées de la lutte contre le covid et de surveiller le respect des obligations prévues pour limiter la propagation du virus, peut désormais collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au covid, de contact, d’identification, de travail et de résidence relatives aux travailleurs, salariés et indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités.

    Vous non plus, vous n’avez pas tout compris ? Pourtant, quand vous consentez à partager vos données avec un tiers, vous avez le droit de savoir exactement ce qu’il va en faire. On a donc tenté d’y voir plus clair. Attention, terrain miné.

    Pas de loi, pas de chocolat

    Premier réflexe : demander un effort de pédagogie aux auteurs. Pourquoi avoir ajouté cet article 8, quelle est l’intention poursuivie par les autorités ? Au cabinet de la ministre de l’Intérieur Annelies Verlinden (CD&V) – qui signe tous les arrêtés ministériels « covid » – on nous répond rapidement « qu’en réalité c’est ici le ministre de la Santé qui est en charge et, donc, qu’on n’est pas en mesure de nous répondre ». Au cabinet du ministre de la Santé, Frank Vandenbroucke (SP.A), on est « débordés » mais on nous revient finalement en dernière minute avant la publication du présent article : « La mesure avait déjà été introduite en août dernier. Elle a été élargie pour permettre aux services d’inspection sociale de vérifier le respect des règles sur le lieu de travail afin de contribuer à prévenir la propagation du virus. Bien entendu, dans le respect de la vie privée ».

    Deuxième réflexe : sonder le milieu académique. À l’UMons, Anne-Emmanuelle Bourgaux, professeure de droit et constitutionnaliste, a justement mis en place un exercice hebdomadaire avec ses étudiants : le Labovir-IUS, observatoire juridique de la crise covid. « On est tombé de notre chaise. Cet article est volontairement vague, illisible pour le commun des mortels », explique-t-elle. « Ce genre de mesures doit impérativement être écrit dans un texte de loi ». Quand l’État traite des données à caractère personnel, il organise des ingérences dans la vie privée des citoyens. Celles-ci doivent en effet respecter des balises fixées notamment par la Convention européenne des droits de l’homme et par notre Constitution. En résumé, « les éléments essentiels » de traitement de données doivent être explicitement prévus dans une loi. « En l’absence de débat parlementaire public, d’exposé des motifs par la ministre de l’Intérieur et des avis des autorités de contrôle (le Conseil d’État et l’Autorité de protection des données, NDLR), la portée exacte de cet article est opaque ».

    Ses étudiants ont fait l’exercice de « traçage » de la mesure : un texte similaire est effectivement déjà apparu dans un arrêté ministériel du 22 août, confirmé ensuite à deux reprises en octobre, mais il concernait uniquement les travailleurs détachés de certains secteurs d’activité. Désormais, sont concernés « tous les travailleurs salariés et indépendants ».

    Deux recours envisagés

    À l’Autorité de protection des données (APD), organe « gardien » de votre vie privée, on confirme : la surprise a été totale à la lecture, aucun avis préalable n’a été demandé par nos autorités. « On parle bien, entre autres, de données de santé, qui doivent être très protégées, de données massives, qui concernent ici des millions de citoyens et d’utilisations de ces données qui pourraient donner lieu à des traitements discriminatoires, ensuite », constate Alexandra Jaspar, directrice du centre de connaissances. « Car, avec ce texte, rien n’est interdit. C’est un chèque en blanc. ». L’APD tenait un conseil d’administration mardi notamment sur le sujet, la possibilité d’un recours en extrême urgence devant le Conseil d’État est étudiée par l’institution. La ligue des droits humains envisage, également, sur base d’arguments similaires, la même procédure.

    Selon Elise Degrave, professeure de droit à l’UNamur et chercheuse en droit numérique, les pires suppositions sont aujourd’hui envisageables. « Faut-il comprendre qu’il y a là une rupture entre le discours politique et les actes concrets ? Initialement, le discours était : “donnez-nous vos données, nous en avons besoin pour lutter contre le virus”. Aujourd’hui, on se demande si l’on va réutiliser tout ou partie de ces données pour “surveiller le respect des obligations”. Il y aurait là un détournement de la finalité initiale : on passe d’une finalité à l’avantage du citoyen – aider le citoyen à sortir de la crise – à une finalité de contrôle de celui-ci ».

    L’utilisation du « datamatching » et du « datamining » inquiète particulièrement la chercheuse (lire par ailleurs).

    « Tout est balisé »

    Le patron de l’ONSS, Koen Snijders, lui, se veut rassurant, comme le gouvernement. « Tout est balisé et on ne fait pas réellement ce qui est écrit dans l’arrêté. Actuellement, nous manipulons très peu de données sensibles, donc de santé, et sur la supervision d’un médecin. Nous utilisons effectivement également les données des “passenger locator form” (PLF) mais dans un autre cadre, bien clair également ».

    Selon ses explications et celles du cabinet Vandenbroucke, l’ONSS reçoit de Sciensano les données « cas index », soit des personnes testées positives et se charge ensuite de les « croiser » avec les données « travail » (qu’il est le seul à posséder). « De cette manière, on peut transmettre l’information aux seuls organismes régionaux en charge du traçage : si l’on remarque plusieurs cas positifs sur le même lieu de travail et donc un potentiel cluster. Les données reçues sont détruites après deux semaines ».

    Concernant les informations contenues dans les PLF, « elles sont aussi croisées avec les données “travail”, si l’on remarque que des personnes sont sur le lieu de travail alors qu’elles devraient être en quarantaine, car, de retour de zone rouge, nous envoyons des inspecteurs sur place. Notre mission est préventive. Si la personne ne collabore pas, nous prévenons les autorités ou la police locale. Ces données sont conservées chez nous mais elles ne sont pas transmises actuellement de manière systématique à d’autres organismes ».

    Ces procédés seraient prévus explicitement dans des délibérations du « Comité de sécurité de l’information » (CSI). « L’arrêté n’est que l’étape 1. L’étape 2, ce sont les décisions du CSI, c’est lui qui décide en réalité ce que l’on peut faire et ne pas faire, qui pose les limites », assure Koen Snijders.

    Le Comité de sécurité de l’information est un organe en charge, depuis 2018, d’autoriser ou non le partage de données personnelles détenues par les autorités publiques. Il s’agit d’une assemblée non élue, constituée contre l’avis du Conseil d’État et qui a déjà fait l’objet de plaintes. « On ne sait pas sur base de quels critères les décisions sont prises et elles ne sont pas publiées au Moniteur », précise Elise Degrave, qui a étudié en profondeur son fonctionnement.

    Nous avons cherché, sur le site internet de l’organisme et ailleurs sur le web, la délibération à laquelle l’administrateur général de l’ONSS fait référence, sans succès. La plus récente concernant l’utilisation des données « covid » par l’ONSS remonte à septembre dernier, elle fait référence à l’ancienne disposition sur les travailleurs détachés. « La dernière délibération n’a pas encore été publiée mais elle a bien eu lieu », nous assure-t-on au cabinet Vandenbroucke.

    Difficile, en résumé, pour le citoyen, même attentif, de comprendre à quelle sauce sont actuellement et seront à l’avenir cuisinées ses données personnelles. À sa disposition : un article d’un arrêté ministériel dont on ne lui a pas parlé et dont « les contours sont volontairement flous », selon plusieurs spécialistes. Ainsi qu’une délibération d’un organe peu connu, introuvable en ligne.Retour ligne automatique
    Des algorithmes dont on ne sait rien

    Amandine Cloot

    L’article 8 fait référence à deux anglicismes : le « datamatching » et la « datamining ». Soit des techniques algorithmiques pointues, difficile à appréhender par le citoyen.

    Le premier procédé permet de rassembler au même endroit des tonnes de données et de les croiser. Le second a pour but d’extraire, de cette masse de données croisées, des informations nouvelles. « Ces techniques sont déjà utilisées par l’ONSS pour lutter contre la fraude sociale. L’outil qui ne peut pas être improvisé existe (cette base de données répond à l’acronyme OASIS, NDLR). Les données covid vont-elles y être mélangées ? Seront-elles ensuite conservées ? », s’interroge Elise Degrave, professeure de droit à l’UNamur et chercheuse en droit numérique.

    Dans le cadre de la lutte contre la fraude sociale, ces deux procédés permettent en tout cas de créer des profils type de fraudeurs. Quand quelqu’un « matche » avec ces profils, il est alors fiché et contrôlé ensuite par l’administration.

    Bien sûr, la transparence des algorithmes utilisés est ici essentielle. L’objet mathématique est toujours créé par un humain : il peut être biaisé. Même si cet humain représente les pouvoirs publics. En février dernier, aux Pays-Bas, un tribunal a interdit l’utilisation de ces deux techniques par l’État. Raison ? Des études montraient que l’algorithme développé ciblait en priorité les quartiers pauvres et migrants pour lutter contre la fraude sociale. Le juge a estimé qu’il était effectivement impossible de s’assurer, en raison de leur non-transparence, que les outils en place n’étaient pas « corrompus ».
    #algorithme #manipulation #données #COVID-19 #profiling #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

    ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##APD-Belgique

  • Le casse du siècle sur la vie privée des Belges
    https://plus.lesoir.be/354333/article/2021-02-11/grand-format-le-casse-du-siecle-sur-la-vie-privee-des-belges

    Comment le traitement de données à caractère personnel par l’Etat est devenu une usine à gaz, tentaculaire et opaque. Les garde-fous démocratiques se sont fissurés. Plaçant la Belgique en menace d’infraction grave au RGPD.

    Dites-nous, Monsieur Stevens, tout va comme vous voulez à l’Autorité de protection des données (APD) ? » Un brin candide, la question est en réalité énorme. Prélude d’un entretien, qui, au final, durera plus de trois heures (Le Soir du 3 février), elle aspire innocemment à prendre le pouls d’une institution tenaillée par les tensions, bombardée de critiques et assiégée par les questions liées à la gestion de la crise covid. Sans parler des Gafa.

    Le président de la « gardienne de la vie privée » n’aura pas le temps d’y répondre.

    Comme sauvé par le gong, celui d’une alarme incendie, au 35 rue de la Presse, où campent aussi le Comité P et la bibliothèque du Parlement. Des cohortes d’agents de l’Etat se retrouvent sur le trottoir (à défaut d’être en télétravail, comme le lui a rappelé, le 21 décembre, une inspection sociale menée dans les locaux de l’Autorité).

    Ce n’était qu’une fausse alerte. Et pourtant, le feu couve bel et bien à l’APD. Enfumant, bien au-delà, toute la chaîne de contrôle de nos données à caractère personnel, depuis l’écriture des lois à leurs outils d’application et de gestion. Soit, par exemple, depuis un arrêté royal encadrant le traçage à une base de données Sciensano. « En termes de vie privée, le traçage est foireux de A à Z » y va, franco, une source interne. « Mais en réalité, poursuit-elle, la crise covid ne fait que mettre en lumière le casse du siècle sur nos données personnelles, qui se joue depuis les années 90 ».Retour ligne automatique
    Toutes les traces de notre vie

    Une somme inouïe d’incompétences, d’erreurs de jugement, de fautes de gouvernance, de précipitation, d’interprétations tarabiscotées de règlements et d’omniscience mégalomaniaque a conduit à échafauder, consciemment ou non, un système de gestion de l’Etat à l’écart du contrôle parlementaire, à l’abri du Conseil d’Etat ou du recours citoyen et échappant à une Autorité de contrôle de plus en plus vidée de sa substance. « Et ce système est à deux doigts d’exploser », assène un autre témoin.

    De quoi parle-t-on ? De toutes les « traces » de notre vie. Celles que nous donnons en toute confiance aux autorités ou aux administrations, sous couvert d’un encadrement législatif, et logées ensuite dans des serveurs informatiques, normalement ultra-sécurisés. On pense bien entendu aux données relatives à la santé (sollicitées à flux tendu durant la crise sanitaire). Mais aussi aux données fiscales, de sécurité sociale, judiciaires… Bref, un paquet de renseignements privés, voire intimes, qui, en vertu du RGPD en place depuis 2018, sont censés être manipulés dans les règles de l’art. C’est-à-dire pour un objectif précis, légitime et adoubé par le parlement. Bref, en toute transparence.

    Le job de l’APD, c’est de s’en assurer. « Or, elle devient inopérante » dénonçaient, en septembre dernier, Alexandra Jaspar et Charlotte Dereppe, respectivement directrice du Centre de connaissances et directrice du Service de première ligne de l’APD, dans un courrier adressé au parlement et révélé par Le Soir et Knack. En 10 pages, tout est balancé, et solidement charpenté par des centaines de pages d’annexes : la nomination illégale de la moitié des membres externes du Centre des connaissances (celui qui, précisément, garantit le respect de notre vie privée dans les textes législatifs), les conflits d’intérêts notoires accablant certains de ces membres à la fois concepteurs et contrôleurs des lois, la délégation de pouvoirs (au mépris de la Constitution) à une instance régionale flamande (la VTC), des inspections illégales, des écarts de gouvernance, des avis de complaisance, des dossiers enterrés ou contournés… Ou encore le rôle du mystérieux Comité de sécurité de l’information (CSI), un organe (contraire à toutes les règles nationales et internationales) qui s’est arrogé le droit de décider quelles instances publiques auraient le droit de réutiliser quelles données et pourquoi. Aux dépens du parlement, de l’APD. De quoi, par exemple, permettre au gouvernement de conforter un arrêté royal autorisant l’ONSS à puiser à peu près toutes les données de santé (Le Soir du 21 janvier).Retour ligne automatique
    Frank Robben, le « Big Brother »

    A chaque fois, les projecteurs se braquent sur un seul homme : Frank Robben, dont nos confrères du Vif brossaient déjà le portrait de « Big Brother » en 2013. Le « Monsieur tracing », c’est lui. Le « Monsieur vaccin » aussi. Plus globalement, il est surtout le « Monsieur data » du royaume : père de la carte SIS, ce proche du CD&V gère les bases de données des Banque carrefour de la Sécurité sociale et d’eHealth (dont il est à chaque fois l’administrateur général). Il est président du comité de direction de la Smals (l’ASBL qui gère toute l’informatique de l’administration, des serveurs aux formulaires « PLF » en passant par les call centers de traçage).

    En tant que membre externe du Centre de connaissances de l’APD, il pèse de tout son poids sur la régulation (et sur David Stevens). Du moins quand les textes y sont soumis. Si pas, il rédige aussi les « délibérations » (comprenez « autorisations ») du CSI, qui dribble allègrement l’APD. Jugé incontournable par le gouvernement, il lui prête aussi sa plume dès lors qu’il s’agit de rédiger un arrêté en extrême urgence mettant en jeu notre vie privée, comme l’arrêté royal qui permet à l’institut de santé publique Sciensano de centraliser toutes les données du traçage manuel et numérique.Retour ligne automatique
    Comme dans les pires romans dystopiques

    Le Soir a tenté, patiemment, de retisser tous les liens du « système Robben » mis en place depuis les années Dehaene. Et de reconstruire brique par brique ce Lego juridico-informatique, sans mode d’emploi. Qui s’apparente, au final, à une fusée à trois étages. Un : la conception de la tuyauterie de récolte et d’échange de données entre les administrations. Deux : sa validation par des autorités de contrôle, soit affaiblies, soit autoproclamées. Trois : sa mise en application, sans marché public, via son bras armé informatique, la Smals.

    Il reste un quatrième étage, qui semble relever des pires romans dystopiques : l’utilisation de nos données à d’autres fins que celles ayant justifié leur récolte. Exemple : l’accès à certains espaces publics aux seuls vaccinés. En croisant les données, rien de plus simple… Or, c’est précisément ce qui se trame, lancent en chœur plusieurs juristes et lanceurs d’alerte. Comme si l’Etat belge intégrait doucement les codes des régimes autoritaires, où la vie privée n’est qu’accessoire.

    Ce système qui, dans la foulée de deux plaintes déposées à la Commission européenne (une contre le CSI en juillet, une autre sur l’indépendance de l’APD en novembre), pourrait valoir à la Belgique de se faire épingler pour infraction grave au RGPD. Un peu comme Facebook ou Google. Sauf qu’ici, on parle d’un Etat, dont les outils d’intelligence artificielle apparaissent finalement tout aussi opaques. « A la différence que Facebook ou Google, vous avez encore le droit de ne pas les utiliser » ponctue Alexandra Jaspar.

    #données #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #APD-Belgique

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_

  • Belgium - Automating Society Report 2020
    https://automatingsociety.algorithmwatch.org/report2020/belgium

    Contextualization As a result of the different governments, and the different levels of government, in Belgium (Federal and Regional), several different strategies dealing with digitization emerged in 2018. In Flanders, this strategy is called Vlaanderen Radicaal Digitaal, while in the Walloon region, it is known as Plan Numerique. In 2015, the federal government launched a strategy called Digital Belgium, but this covered more than just ADM. In 2018, the Flemish government launched an (...)

    #Accenture #Briefcam #algorithme #biométrie #éthique #facial #prédiction #reconnaissance #vidéo-surveillance #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #comportement (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##discrimination ##enseignement ##pauvreté ##santé ##sport ##surveillance ##_ ##APD-Belgique ##AlgorithmWatch

  • IAB Europe’s ad tracking consent framework found to fail GDPR standard
    https://techcrunch.com/2020/10/16/iab-europes-ad-tracking-consent-framework-found-to-fail-gdpr-standard/?guccounter=1

    A flagship framework for gathering Internet users’ consent for targeting with behavioral ads — which is designed by ad industry body, the IAB Europe — fails to meet the required legal standards of data protection, according to findings by its EU data supervisor. The Belgian DPA’s investigation follows complaints against the use of personal data in the real-time bidding (RTB) component of programmatic advertising which contend that a system of high velocity personal data trading is inherently (...)

    #algorithme #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #consentement #données #publicité #RealTimeBidding-RTB (...)

    ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##publicité ##APD-Belgique

  • L’Autorité de protection des données est devenue « inopérante », alertent deux directrices
    https://www.lalibre.be/belgique/politique-belge/l-autorite-de-protection-des-donnees-est-devenue-inoperante-alerte-deux-dire

    L’Autorité de protection des données (APD) « n’est plus en mesure de remplir sa mission de manière indépendante », ont fait part deux directrices de l’autorité au Parlement dans un courrier daté du 9 septembre et évoqué jeudi dans Le Soir et Knack. Elles invitent « à prendre les mesures adéquates ». Cet organisme qui a pris le relais de l’ex-Commission de la vie privée serait devenu « inopérant », dénoncent Alexandra Jaspar (Directrice du centre de connaissances de l’APD) et Charlotte Dereppe (Directrice du (...)

    #données #APD-Belgique

  • Tracing : le grand foutoir (décodage)
    https://www.levif.be/actualite/belgique/tracing-le-grand-foutoir-decodage/article-analyse-1308873.html?cookie_check=1594993102

    En plus des call centers, la Belgique va se doter d’une appli pour tracer les personnes potentiellement infectées par le coronavirus. Pour quand, pourquoi, par qui ? Qu’adviendra-t-il de nos données personnelles ? Comment susciter l’indispensable adhésion ? Décryptage d’une stratégie critiquée, et dont certains rouages inquiètent. « Tracing », « traçage » ou le plus consensuel « suivi de contacts ». Trois appellations pour une seule et même parade face à la pandémie : celle qui consiste à identifier (...)

    #Apple #Google #Bluetooth #DP-3T_ #StopCovid #TraceTogether #contactTracing #consentement #technologisme #COVID-19 #hacking #santé #LDH-Belgique (...)

    ##santé ##APD-Belgique

  • Traçage numérique : « L’État n’est pas transparent envers le citoyen »
    https://www.levif.be/actualite/belgique/tracage-numerique-l-etat-n-est-pas-transparent-envers-le-citoyen/article-normal-1306205.html

    Un nouvel arrêté royal de pouvoirs spéciaux encadre le traçage manuel et numérique. Ce système, qui comporte des zones d’ombre, pose de nombreuses questions, notamment en matière de vie privée. Trois questions à Élise Degrave, professeure à la Faculté de droit de l’Université de Namur. Le Moniteur belge a publié un arrêté royal de pouvoirs spéciaux qui prolonge, jusqu’au 15 octobre, la durée de validité de la banque de données utilisée dans le cadre du traçage des personnes contaminées par la covid-19. Il (...)

    #smartphone #technologisme #consentement #BigData #données #COVID-19 #santé #APD-Belgique (...)

    ##santé ##LDH-Belgique

  • L’autorité belge pour la protection des données inflige une amende de 600 000 euros à Google
    https://www.lemonde.fr/pixels/article/2020/07/14/l-autorite-belge-pour-la-protection-des-donnees-inflige-une-amende-de-600-00

    Selon l’institution, le géant américain n’a pas respecté le droit à l’oubli d’un citoyen belge, qui réclamait que des pages à son sujet ne soient plus accessibles via le moteur de recherche. L’Autorité de protection des données (APD), en Belgique, a annoncé mardi 14 juillet avoir infligé une amende de 600 000 euros à Google Belgium pour non-respect du droit à l’oubli. Il s’agit de la plus forte amende infligée par l’APD à ce jour, a précisé l’institution dans un communiqué. Le plaignant, dont l’identité n’a (...)

    #Google #procès #oubli #APD-Belgique