A la Chambre, Mathieu Michel annoncera une « opération transparence » sur les données privées. Objectif : rétablir la confiance, ébranlée par de nombreux dossiers.
La démocratie va-t-elle reprendre la main sur la manière dont l’Etat gère les données à caractère personnel des Belges, un dossier dont seuls les technocrates semblaient détenir les clés ? L’ordre du jour de la Commission Justice de ce mercredi ouvre en tout cas une belle fenêtre d’opportunités. Au menu, plusieurs dossiers révélés par Le Soir et qui, visiblement, auront permis de faire bouger les lignes, en attendant de remettre l’église du milieu du village. On y parlera donc d’Oasis (cet outil permettant de profiler les citoyens et les entreprises potentiellement coupables de fraude sociale, Le Soir du 23 mars), des données médicales stockées en Russie via l’entreprise américaine 3M (Le Soir du 22 mars). Et de « Putting data at the center », ce projet flou porté par le SPF Bosa/Appui et Stratégie (et non par la Smals, comme nous l’avions erronément écrit le 10 mars).
Le 11 mars, à la Chambre, le secrétaire d’Etat à la digitalisation et à la protection de la vie privée, Mathieu Michel, annonçait la suspension immédiate du projet « PDC », rebaptisé entre-temps « Smart Data Services ». Comme il s’était engagé à le faire, il revient ce mercredi, en Commission Justice pour en éclaircir les contours. Entre ses mains, un rapport de 18 pages rédigé par Ben Smeets, directeur général du SPF Stratégie et Appui (également présent à la Commission). Le Soir a pu consulter ce document.
Une idée de consultant
Que dit-il ? Pour résumer, trois choses. Un : Bosa « ne croise pas de données » mais « se charge uniquement du transport sécurisé de données dans le cadre d’une demande justifiée d’un service public (…). Deux : « Nous sommes convaincus que nous avons abordé ce projet dans le respect du cadre légal et des procédures applicables, et que nous avons correctement identifié et traité les risques associés au projet. » Trois : l’objectif vise à créer « une vue centralisée de toutes les données détenues par les pouvoirs publics, de sorte que les utilisateurs n’aient plus besoin de savoir vers quelle source se tourner pour leurs besoins spécifiques en matière de données (…). »
Mais encore… « Personne ne conteste l’idée de départ », relève un des juristes que nous avons consultés. « Mais le problème, c’est qu’avec les mêmes phrases, vous pouvez tout aussi bien réaliser de belles choses que des horreurs ». Les problèmes de fond demeurent. « On ne sait pas de quelles données précises on parle ni la finalité de traitement ». « Le rapport évoque un potentiel commercial, mais avec qui, comment ? Il parle d’opportunités en termes d’intelligence artificielle, mais dans quel but ? ». Le sentiment que l’administration aurait mis la charrue avant les bœufs est unanimement partagé : « Comme si elle avait voulu démontrer que quelque chose était techniquement possible sans avoir vidé les aspects juridiques et éthiques, ni même avoir concrètement identifié un usage et des utilisateurs ». En l’occurrence, comme le révèle le rapport : l’idée de « Putting data at the center » est née, en 2017, dans la tête d’un consultant externe en mission à Bosa.
Opération « transparence »
Et si la commission Justice de ce mercredi marquait un tournant ? C’est en tout cas le pari de Mathieu Michel. « Il faut rendre la donnée au citoyen » nous dit-il. « La première étape, c’est de rétablir la confiance en restaurant une transparence absolue. » En clair, mettre fin au « circulez y a rien à voir ». Comment ? En permettant aux Belges d’avoir une idée précise des données à caractère personnel dont l’Etat dispose et l’usage qui en est fait. Un travail de titan. « Mais qui est déjà sur les rails », expliquera le secrétaire d’Etat ce mercredi au parlement. La mise à disposition de l’outil est promise pour « début 2022 », avec, en guise d’inspiration, l’Estonie, pionnière en matière d’interactions numériques entre citoyens et administrations (« e-Estonia »).
Première étape : dresser l’inventaire de l’ensemble des données à caractère personnel des citoyens et de leur utilisation par les institutions fédérales. Ce cadastre centralisé n’existe pas aujourd’hui, ou n’est en tout cas pas visible. Deuxième étape : permettre au citoyen d’y accéder, en permanence, via un portail Web et une application smartphone. « On peut imaginer, par après, d’aller encore plus loin en permettant au citoyen d’identifier quelle administration a cherché à accéder à ses données, quand et pour quelles raisons. Voire, vous opposer à la consultation et porter plainte ». Tout ceci n’élude pas la question de fond, insiste néanmoins Mathieu Michel, à savoir : le débat, au parlement, sur la réutilisation des données par les autorités publiques.
Court-circuitage démocratique
« La transparence, seule, ne résoudra pas tout le problème », compte d’ailleurs rappeler avec insistance François De Smet (Défi) lors de ses interpellations en Commission. « Le vrai souci c’est le court-circuitage démocratique. Avant de réutiliser des données il faut un débat parlementaire, une loi et un contrôle de l’Autorité de protection des données. »
A ce titre, deux zones d’ombre entachent toujours la gestion des données personnelles par l’Etat : les conflits d’intérêts qui minent l’indépendance de l’APD et le Comité de sécurité de l’information (CSI), cet ovni institutionnel qui s’est substitué au parlement pour les autorisations de traitement. Pour rappel, ces deux points noirs ont valu à la Belgique d’être le premier pays européen à faire l’objet d’une mise en garde de la commission pour non-respect du RGPD.
#Smals #consentement #données #fraude #santé #APD-Belgique
