#donnees

Clear Conquered U.S. Airports. Now It Wants to Own Your Entire Digital Identity.
▻https://onezero.medium.com/clear-conquered-u-s-airports-now-it-wants-to-own-your-entire-digital

‘You are your driver’s license, your credit card, your health care card, your building access card’ In March, the air travel industry ground to a halt. The coronavirus pandemic was spreading, and both airlines and passengers were caught unprepared. Most of the world, including the United States, began turning away foreign visitors, not wanting to bring more of the virus past their borders. Some airplanes were turned around in midair and sent back to where they’d come from. By April, airlines (...)

#Clear #algorithme #passeport #biométrie #données #surveillance #

##_

https://miro.medium.com/max/1200/1*-g2iAdkyCbTbwzxPzW3W5g.jpeg

Glocal Climate Change

https://i.imgur.com/AURsnMY.png

Global warming is not only about melting icebergs or expanding deserts. It is something which does happen in our backyard as well. Data and estimates on the mean temperatures at the local level indicate that climate change has been affecting almost every corner of Europe, as mean temperatures have increased by more than 2°C in half a century in multiple areas.

▻https://climatechange.europeandatajournalism.eu/en/map

Les données sont présentées au niveau de la commune, ici par exemple Grenoble :

https://i.imgur.com/mUw38tF.png

#carte #cartographie #visualisation #changement_climatique #climat #local #Europe #températures #données #database #statistiques #chiffres #commune

ping @reka @visionscarto @simplicissimus

Tienduizenden mensen mogelijk onterecht in gezichtendatabase van de politie
▻https://www.nu.nl/tech/6121460/tienduizenden-mensen-mogelijk-onterecht-in-gezichtendatabase-van-de-politie.html

De politie gebruikt foto’s van meer dan 1,3 miljoen personen voor gezichtsherkenning, maar heeft geen idee welke mensen terecht in de gezichtendatabase staan. Zo is dus ook niet bekend bij wie dat niet langer het geval is, bijvoorbeeld na een vrijspraak. Dat blijkt uit onderzoek van NU.nl. Deskundigen betwijfelen of gezichtsherkenning bij de politie daardoor nog geoorloofd is. Exacte berekeningen zijn lastig, maar de politie erkent in gesprek met NU.nl dat er stevige twijfel bestaat of (...)

#biométrie #criminalité #police #données #facial #reconnaissance #consentement

##criminalité

Follow-up on Amazon Assistant’s data collection
▻https://palant.info/2021/03/22/follow-up-on-amazon-assistants-data-collection

In my previous article on Amazon Assistant, one sentence caused considerable irritation : Mind you, I’m not saying that Amazon is currently doing any of this. Yes, when I wrote that article I didn’t actually know how Amazon was using the power they’ve given themselves. The mere potential here, what they could do with a minimal and undetectable change on one of their servers, that was scary enough for me. I can see that other people might prefer something more tangible however. So this (...)

#Google #GoogleSearch #Amazon #algorithme #données #consommation #marketing

https://palant.info/2021/03/22/follow-up-on-amazon-assistants-data-collection/amazon_assistant.png

Procès Ikea : des policiers trop zélés à la barre
▻https://www.lemonde.fr/societe/article/2021/03/24/proces-ikea-des-policiers-trop-zeles-a-la-barre_6074285_3224.html

Quatre fonctionnaires sont accusés de violation du secret professionnel pour avoir, à la demande d’Ikea, consulté les antécédents judiciaires de salariés.

Huit ans d’instruction ont permis de décortiquer le mécanisme principal de la surveillance à grande échelle qui visait salariés et candidats à l’embauche chez Ikea, en France, dans les années 2000 : les directeurs d’une grande partie des magasins du pays envoyaient des listes de noms à Jean-François Paris, responsable des questions de sécurité au sein du groupe, qui les transmettait à Jean-Pierre Fourès, ancien policier des renseignements généraux, lequel obtenait les antécédents judiciaires des personnes concernées de façon plus ou moins légale – parfois auprès de policiers, selon l’accusation, ce que l’intéressé dément.

Les choses étaient plus simples au magasin Ikea d’Avignon, où l’on ne s’embarrassait pas de tant d’intermédiaires : le directeur du site, Patrick Soavi, passait directement commande à un policier nommé Alain Straboni, qui avait la bonne idée d’être son cousin. « Au troisième degré », précise M. Soavi à la barre : « J’ai un lien familial avec Straboni, je me suis dit : “Pourquoi passer par Jean-François Paris ?” Je reconnais que j’ai fait preuve de beaucoup de naïveté et d’un peu d’excès de zèle, mais on nous demandait de faire ces contrôles et, une fois le doigt dans l’engrenage, il était trop tard. » Au deuxième jour du procès Ikea, mardi 23 mars, le tribunal correctionnel de Versailles s’intéressait au cas d’espèce avignonnais.

Le magasin ouvre ses portes en août 2010. En avril, Patrick Soavi envoie un premier mail à Alain Straboni : une liste de quarante-neuf noms, prénoms, dates et lieux de naissance de candidats présélectionnés, à laquelle il faudrait « jeter un œil ». Réponse cinq jours plus tard : « Sur quarante-neuf, trois sont connus : C. pour menaces, B. pour usage de stup, et M. pour outrage à agent. En gros ce n’est pas bien méchant, bonne pioche. » Mi-juin, nouveau mail de Patrick Soavi à son cousin, soixante-huit nouveaux noms à passer dans le STIC, le fichier des antécédents judiciaires, qui n’est pourtant pas censé servir à faire le tri à l’embauche. Verdict : « Patrick, pour la liste, cinq noms à proscrire. »

Syndicats et « barbus »

« Si la personne était défavorablement connue, on lui disait poliment que le profil ne correspondait pas », explique M. Soavi, qui se justifie : « J’avais la hantise de la drogue et de la mise en place d’un marché parallèle dans mon magasin. » Quand il était directeur du magasin de Villiers-sur-Marne, en région parisienne, il avait déjà sollicité son cousin policier, qui a donné cette autre explication aux enquêteurs : « Sa peur était que les barbus infiltrent les syndicats de son entreprise. » Soavi, gêné, à la barre : « Ce sont des termes de policiers. “Barbus”, c’est pas trop mes propos, hein. »

M. Straboni absent, il a fallu se contenter des réponses qu’il avait fournies à l’instruction : « Je savais que je n’avais pas le droit de le faire, je l’ai fait uniquement parce qu’il s’agissait d’un cousin, un discret, qui n’ébruiterait pas notre deal. » Un service sans « aucune contrepartie », hormis un coup de pouce pour que ses enfants ou ceux de ses collègues policiers décrochent un emploi saisonnier chez Ikea. Pour M. Straboni, cette affaire est une « catastrophe personnelle et professionnelle », il se sent « honteux ».

Le même sentiment habite visiblement Jean-Philippe Dallies-Labourdette, qui arrive à la barre. Policier à la retraite, carrière exemplaire, rescapé d’un attentat au Kurdistan en 1992, officier de l’ordre national du Mérite depuis 2010, et désormais jugé pour avoir vérifié quarante-deux identités dans le STIC à la demande de Fabrice Cadet, responsable de la sécurité du magasin Ikea d’Avignon. Le policier bredouille qu’il s’est contenté de « considérations générales », qu’il n’est « pas entré dans la vie des gens » et n’a « pas donné la nature des infractions ». C’est illégal quand même. Il regrette sa « négligence ».

Troubles sociaux

« Je savais qu’on n’avait pas le droit de le faire, mais je l’ai fait quand même », enchaîne son adjoint Jean-Yves Huart, l’air contrit, qui peine à expliquer pourquoi. « On avait besoin de renseignements à l’époque, explique-t-il mollement. Il y avait des troubles sociaux dans le département, on était tiraillés entre différents syndicats, les entreprises pouvaient éventuellement nous aider à anticiper ces troubles.

– Une sorte d’échange de bons procédés, dit la présidente.

– Oui, sauf qu’on a été un peu trop loin dans l’échange. »

En tout, 167 identités ont été passées au STIC concernant le magasin d’Avignon, qui compte 250 salariés.

Un quatrième policier est actuellement jugé à Versailles. Contrairement aux trois autres, Laurent Hervieu plaide non coupable. En 2010 et 2011, alors qu’il était en poste à Ermont (Val-d’Oise), il a effectué des consultations STIC concernant vingt salariés – dont des leaders syndicaux – du magasin voisin de Franconville, foyer de contestation d’où était parti, en février 2010, un vaste mouvement de grève chez les salariés du groupe.

« Dix personnes passées au STIC avec vos codes de connexion ont ensuite été licenciées par Ikea », remarque la procureure.

« Euh… Malheureusement, je ne peux pas vous l’expliquer, je n’y peux rien, répond M. Hervieu, qui promet n’avoir jamais fait de recherches à la demande d’Ikea. Toutes mes consultations STIC se sont faites dans le cadre de procédures judiciaires régulières », affirme-t-il, évoquant notamment des affaires de vol par du personnel au sein du magasin. Problème : en huit ans d’instruction, on n’a jamais trouvé trace de ces procédures. La peine maximale encourue par les policiers est de cinq ans de prison. Le procès se poursuit jeudi avec les interrogatoires des deux anciens PDG d’Ikea France, accusés d’avoir cautionné le système de surveillance généralisé.

#Ikea #données #justice #notation #profiling #STIC #surveillance #travail #police

https://img.lemde.fr/2021/03/24/913/0/5472/2736/1440/720/60/0/016ab73_883245634-597936.jpg

En 2022, chaque Belge saura ce que l’Etat sait sur lui
▻https://plus.lesoir.be/362464/article/2021-03-23/en-2022-chaque-belge-saura-ce-que-letat-sait-sur-lui

A la Chambre, Mathieu Michel annoncera une « opération transparence » sur les données privées. Objectif : rétablir la confiance, ébranlée par de nombreux dossiers.

La démocratie va-t-elle reprendre la main sur la manière dont l’Etat gère les données à caractère personnel des Belges, un dossier dont seuls les technocrates semblaient détenir les clés ? L’ordre du jour de la Commission Justice de ce mercredi ouvre en tout cas une belle fenêtre d’opportunités. Au menu, plusieurs dossiers révélés par Le Soir et qui, visiblement, auront permis de faire bouger les lignes, en attendant de remettre l’église du milieu du village. On y parlera donc d’Oasis (cet outil permettant de profiler les citoyens et les entreprises potentiellement coupables de fraude sociale, Le Soir du 23 mars), des données médicales stockées en Russie via l’entreprise américaine 3M (Le Soir du 22 mars). Et de « Putting data at the center », ce projet flou porté par le SPF Bosa/Appui et Stratégie (et non par la Smals, comme nous l’avions erronément écrit le 10 mars).

Le 11 mars, à la Chambre, le secrétaire d’Etat à la digitalisation et à la protection de la vie privée, Mathieu Michel, annonçait la suspension immédiate du projet « PDC », rebaptisé entre-temps « Smart Data Services ». Comme il s’était engagé à le faire, il revient ce mercredi, en Commission Justice pour en éclaircir les contours. Entre ses mains, un rapport de 18 pages rédigé par Ben Smeets, directeur général du SPF Stratégie et Appui (également présent à la Commission). Le Soir a pu consulter ce document.

Une idée de consultant

Que dit-il ? Pour résumer, trois choses. Un : Bosa « ne croise pas de données » mais « se charge uniquement du transport sécurisé de données dans le cadre d’une demande justifiée d’un service public (…). Deux : « Nous sommes convaincus que nous avons abordé ce projet dans le respect du cadre légal et des procédures applicables, et que nous avons correctement identifié et traité les risques associés au projet. » Trois : l’objectif vise à créer « une vue centralisée de toutes les données détenues par les pouvoirs publics, de sorte que les utilisateurs n’aient plus besoin de savoir vers quelle source se tourner pour leurs besoins spécifiques en matière de données (…). »

Mais encore… « Personne ne conteste l’idée de départ », relève un des juristes que nous avons consultés. « Mais le problème, c’est qu’avec les mêmes phrases, vous pouvez tout aussi bien réaliser de belles choses que des horreurs ». Les problèmes de fond demeurent. « On ne sait pas de quelles données précises on parle ni la finalité de traitement ». « Le rapport évoque un potentiel commercial, mais avec qui, comment ? Il parle d’opportunités en termes d’intelligence artificielle, mais dans quel but ? ». Le sentiment que l’administration aurait mis la charrue avant les bœufs est unanimement partagé : « Comme si elle avait voulu démontrer que quelque chose était techniquement possible sans avoir vidé les aspects juridiques et éthiques, ni même avoir concrètement identifié un usage et des utilisateurs ». En l’occurrence, comme le révèle le rapport : l’idée de « Putting data at the center » est née, en 2017, dans la tête d’un consultant externe en mission à Bosa.

Opération « transparence »

Et si la commission Justice de ce mercredi marquait un tournant ? C’est en tout cas le pari de Mathieu Michel. « Il faut rendre la donnée au citoyen » nous dit-il. « La première étape, c’est de rétablir la confiance en restaurant une transparence absolue. » En clair, mettre fin au « circulez y a rien à voir ». Comment ? En permettant aux Belges d’avoir une idée précise des données à caractère personnel dont l’Etat dispose et l’usage qui en est fait. Un travail de titan. « Mais qui est déjà sur les rails », expliquera le secrétaire d’Etat ce mercredi au parlement. La mise à disposition de l’outil est promise pour « début 2022 », avec, en guise d’inspiration, l’Estonie, pionnière en matière d’interactions numériques entre citoyens et administrations (« e-Estonia »).

Première étape : dresser l’inventaire de l’ensemble des données à caractère personnel des citoyens et de leur utilisation par les institutions fédérales. Ce cadastre centralisé n’existe pas aujourd’hui, ou n’est en tout cas pas visible. Deuxième étape : permettre au citoyen d’y accéder, en permanence, via un portail Web et une application smartphone. « On peut imaginer, par après, d’aller encore plus loin en permettant au citoyen d’identifier quelle administration a cherché à accéder à ses données, quand et pour quelles raisons. Voire, vous opposer à la consultation et porter plainte ». Tout ceci n’élude pas la question de fond, insiste néanmoins Mathieu Michel, à savoir : le débat, au parlement, sur la réutilisation des données par les autorités publiques.

Court-circuitage démocratique

« La transparence, seule, ne résoudra pas tout le problème », compte d’ailleurs rappeler avec insistance François De Smet (Défi) lors de ses interpellations en Commission. « Le vrai souci c’est le court-circuitage démocratique. Avant de réutiliser des données il faut un débat parlementaire, une loi et un contrôle de l’Autorité de protection des données. »

A ce titre, deux zones d’ombre entachent toujours la gestion des données personnelles par l’Etat : les conflits d’intérêts qui minent l’indépendance de l’APD et le Comité de sécurité de l’information (CSI), cet ovni institutionnel qui s’est substitué au parlement pour les autorisations de traitement. Pour rappel, ces deux points noirs ont valu à la Belgique d’être le premier pays européen à faire l’objet d’une mise en garde de la commission pour non-respect du RGPD.

#Smals #consentement #données #fraude #santé #APD-Belgique

##santé

https://plus.lesoir.be/sites/default/files/dpistyles_v2/ena_16_9_extra_big/2021/03/23/node_362464/27982934/public/2021/03/23/B9726517094Z.1_20210323184512_000+G41HR0G33.1-0.jpg

EU : One step closer to the establishment of the ’#permission-to-travel' scheme

The Council and Parliament have reached provisional agreement on rules governing how the forthcoming #European_Travel_Information_and_Authorisation System (#ETIAS) will ’talk’ to other migration and policing databases, with the purpose of conducting automated searches on would-be travellers to the EU.

The ETIAS will mirror systems such as the #ESTA scheme in the USA, and will require that citizens of countries who do not need a #visa to travel to the EU instead apply for a “travel authorisation”.

As with visas, travel companies will be required to check an individual’s travel authorisation before they board a plane, coach or train, effectively creating a new ’permission-to-travel’ scheme.

The ETIAS also includes a controversial #profiling and ’watchlist’ system, an aspect not mentioned in the Council’s press release (full-text below).

The rules on which the Council and Parliament have reached provisional agreement - and which will thus almost certainly be the final text of the legislation - concern how and when the ETIAS can ’talk’ to other EU databases such as #Eurodac (asylum applications), the #Visa_Information_System, or the #Schengen_Information_System.

Applicants will also be checked against #Europol and #Interpol databases.

As the press release notes, the ETIAS will also serve as one of the key components of the “interoperability” scheme, which will interconnect numerous EU databases and lead to the creation of a new, biometric ’#Common_Identity_Repository' on up to 300 million non-EU nationals.

You can find out more about the ETIAS, related changes to the Visa Information System, and the interoperability plans in the Statewatch report Automated Suspicion: ►https://www.statewatch.org/automated-suspicion-the-eu-s-new-travel-surveillance-initiatives

–------

The text below is a press release published by the Council of the EU on 18 March 2020: ▻https://www.consilium.europa.eu/en/press/press-releases/2021/03/18/european-travel-information-and-authorisation-system-etias-council-

European travel information and authorisation system (ETIAS): Council Presidency and European Parliament provisionally agree on rules for accessing relevant databases

The Council presidency and European Parliament representatives today reached a provisional agreement on the rules connecting the ETIAS central system to the relevant EU databases. The agreed texts will next be submitted to the relevant bodies of the Council and the Parliament for political endorsement and, following this, for their formal adoption.

The adoption of these rules will be the final legislative step required for the setting up of ETIAS, which is expected to be operational by 2022.

The introduction of ETIAS aims to improve internal security, prevent illegal immigration, protect public health and reduce delays at the borders by identifying persons who may pose a risk in one of these areas before they arrive at the external borders. ETIAS is also a building bloc of the interoperability between JHA databases, an important political objective of the EU in this area, which is foreseen to be operational by the end of 2023.

The provisionally agreed rules will allow the ETIAS central system to perform checks against the Schengen Information System (SIS), the Visa Information System (VIS), the Entry/Exit System (EES), Eurodac and the database on criminal records of third country nationals (ECRIS-TCN), as well as on Europol and Interpol data.

They allow for the connection of the ETIAS central system to these databases and set out the data to be accessed for ETIAS purposes, as well as the conditions and access rights for the ETIAS central unit and the ETIAS national units. Access to the relevant data in these systems will allow authorities to assess the security or immigration risk of applicants and decide whether to issue or refuse a travel authorisation.
Background

ETIAS is the new EU travel information and authorisation system. It will apply to visa-exempt third country nationals, who will need to obtain a travel authorisation before their trip, via an online application.

The information submitted in each application will be automatically processed against EU and relevant Interpol databases to determine whether there are grounds to refuse a travel authorisation. If no hits or elements requiring further analysis are identified, the travel authorisation will be issued automatically and quickly. This is expected to be the case for most applications. If there is a hit or an element requiring analysis, the application will be handled manually by the competent authorities.

A travel authorisation will be valid for three years or until the end of validity of the travel document registered during application, whichever comes first. For each application, the applicant will be required to pay a travel authorisation fee of 7 euros.

https://www.statewatch.org/media/2161/eu-etias.jpg

▻https://www.statewatch.org/news/2021/march/eu-one-step-closer-to-the-establishment-of-the-permission-to-travel-sche

#interopérabilité #base_de_données #database #données_personnelles #migrations #mobilité #autorisations #visas #compagnies_de_voyage #VIS #SIS #EU #UE #union_européenne #biométrie

ping @etraces @isskein @karine4

Les données de santé des Belges, mal protégées, s’échappent en Russie
▻https://medor.coop/nos-series/enquete-sante/les-donnees-de-sante-des-belges-mal-protegees-sechappent-en-russie

En Belgique, tout ce que les hôpitaux comptent comme données de santé transite par l’entreprise américaine 3M. Le logiciel qu’elle fournit est incontournable dans le fonctionnement quotidien des établissements. 3M propose des services leur permettant de comparer leurs performances. Médor et Le Soir, dans une enquête commune, ont pu mettre la main sur les contrats de benchmarking. Nos données médicales, ultra-sensibles, sont vulnérables. Une faille de protection majeure se situe en (...)

#3M #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données (...)

##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé

https://medor.coop/media/images/6K2A3541-2_CORRIGEE.2e16d0ba.fill-1200x630.jpg

Les associations d’usagers s’inquiètent du partage massif de données concernant les bénéficiaires d’aides au logement
▻https://www.lemonde.fr/societe/article/2021/03/22/les-associations-d-usagers-s-inquietent-du-partage-massif-de-donnees-concern

Un décret présenté lors du Conseil national de l’habitat prévoit de transmettre ces informations à l’Agence nationale de l’habitat

Les informations sur près de 2,6 millions de foyers locataires et propriétaires occupants du parc privé et tous leurs membres, identité, adresse, situation professionnelle, ressources et reste à vivre après paiement du loyer, type de logement et loyer, mais aussi autres allocations versées (RSA, allocation aux adultes handicapés) avec leurs montants, seront peut-être bientôt divulguées à l’Agence nationale de l’habitat (ANAH).

Jeudi 18 et vendredi 19 mars, lors du Conseil national de l’habitat – instance consultative de tous les acteurs du logement, fonctionnaires du ministère, associations de locataires, promoteurs et agents immobiliers –, les discussions ont été houleuses. Une dizaine de projets de décret ont été examinés. Les débats, sous la présidence de Mickaël Nogal, député (La République en marche) de Haute-Garonne, se sont animés à propos, notamment, de l’un d’entre eux, pris en application de la loi « énergie et climat » du 8 novembre 2019. Il prévoit que, chaque année, la Caisse nationale d’allocations familiales et la Mutuelle sociale agricole transmettront à l’ANAH leurs fichiers concernant les occupants du parc privé, locataires et propriétaires, bénéficiaires des aides au logement.

Selon la note de présentation dudit décret, ces informations seraient utiles pour « aider à la mise en œuvre de missions de service public réalisées par l’ANAH, identifier les logements susceptibles de bénéficier d’aides à l’amélioration qu’elle propose » aux ménages vivant dans un habitat indigne, en situation de précarité énergétique ou en perte d’autonomie. Un autre but, « mieux lutter contre la fraude en croisant les données issues de différents organismes », est aussi invoqué, sans grand détail.

« Disproportionné »

« Ce transfert massif d’informations, qui ne seront pas réservées aux seuls salariés de l’ANAH puisqu’elles peuvent être déléguées à des sociétés tierces, des sous-traitants, nous inquiète, explique Guillaume Aichelmann, chargé de mission de l’association Consommation Logement Cadre de vie. Ce sont décidément toujours les pauvres qu’on contrôle ! Quant à la lutte contre la fraude, elle vise à nouveau les seuls ménages aidés alors qu’elle pourrait mieux exploiter, par exemple, les déclarations de revenus des bailleurs », suggère-t-il.

« En tant qu’opérateur, nous manquons toujours de données pour identifier les habitants qui ont besoin d’être aidés, explique Michel Pelenc, directeur général de Soliha, association qui, au nom de l’ANAH, démarche et conseille les ménages dans l’amélioration de leurs logements. Mais là, j’admets que le moyen est un peu disproportionné dans la mesure où le nombre de logements faisant l’objet d’une convention avec l’ANAH dépasse rarement 1 000 par an, avec de très rares cas de fraude… On prend un marteau pour écraser une mouche », estime M. Pelenc qui, en tant que membre du Conseil national de l’habitat, a tout de même donné son accord au projet de décret.

De son côté, la Commission nationale de l’informatique et des libertés a bien été consultée mais son avis, pourtant déterminant, n’a pas été communiqué aux membres du conseil et ne sera d’ailleurs rendu public qu’en même temps que le décret, ce qui ne contribue guère à l’apaisement des débats.

#croisement_de_fichiers #données #CAF #MSA #logement

Vie privée : l’étrange parcours de vos données de santé
▻https://plus.lesoir.be/362026/article/2021-03-22/vie-privee-letrange-parcours-de-vos-donnees-de-sante

Vous pensiez que vos données médicales vous attendaient tranquillement à l’hôpital. En réalité, elles transitent par une filiale d’un conglomérat américain, sont stockées en Allemagne et traitées en Russie. Ce qui n’est pas sans risque pour votre vie privée. Une enquête menée par « Le Soir » et le magazine « Médor ».

Depuis plusieurs années, vos données d’hospitalisation s’échappent en Russie. C’est là-bas que les bureaux d’un sous-traitant de la société 3M sont installés. Un transfert d’informations sensibles – des données de santé, entre autres – qui n’est actuellement pas organisé en respectant l’ensemble des garanties essentielles prévues par le RGPD (règlement général sur la protection des données, NDLR).

En cause ? Des contrats « passoires » d’un point de vue vie privée passés entre 3M Belgium et des hôpitaux du pays, qui portent sur la fourniture d’un logiciel informatique, dont les prestataires de soins de santé peuvent difficilement se passer. Le Soir et Médor ont pu les consulter.

Quasi tous les patients concernés

Premier problème : les risques pèsent sur les données médicales d’un nombre considérable de patients belges.

Le recours au logiciel développé par l’Américain 3M et commercialisé par sa filiale belge est en effet quasi généralisé en Belgique, conséquence, entre autres, d’un vieux monopole instauré par le biais de nos autorités (lire ci-dessous). « Une majorité des hôpitaux l’utilisent », confient responsables d’hôpitaux et différentes fédérations du secteur, sans jamais communiquer de chiffres précis. La dépendance à ce programme est une réalité, particulièrement pour les structures de plus petites tailles. « Personne n’arrive aux chevilles de 3M. L’outil est essentiel », précise, notamment (beaucoup d’intervenants ont préféré s’exprimer « off the record » sur ce dossier), André le Maire, directeur de l’information chez Vivalia, intercommunale des soins de santé en province du Luxembourg.

Son objectif ? Épauler les hôpitaux dans leur gestion financière. En Belgique, l’État les finance par type d’hospitalisation et de patients. Des budgets découpés en « blocs » et calculés sur base de moyennes nationales mesurées dans tous les établissements du pays, avec un décalage de plusieurs années dans le temps (le budget 2020 est ainsi délivré sur base des moyennes de 2018 et 2017).

Le logiciel de « benchmark » offre aux clients de 3M, les hôpitaux, contre rémunération bien sûr, la possibilité de se comparer entre eux, presque en temps réel, via une analyse poussée et segmentée. En d’autres mots, si un hôpital constate que, pour une certaine pathologie et un certain type d’hospitalisation, ses médecins engagent des moyens trop importants par rapport à ceux de leurs pairs (durée de séjour trop longue, trop d’actes fournis…), il peut, directement, rectifier le tir. « En résumé, on peut tout de suite aller voir les médecins pour leur dire : vous consommez trop dans votre pratique médicale, les autres sont plus performants que vous », simplifie le directeur d’une clinique wallonne.

Des contrats « brouillon »

Deuxième problème : les contrats conclus entre 3M et les hôpitaux sont peu respectueux des garanties prévues par le RGPD.

Un gros hôpital du pays, qui ne souhaite pas être cité, explique « avoir refusé d’utiliser l’outil de “benchmarking” en raison d’un procédé trop risqué appliqué à des données sensibles. Notamment parce que les contrats engagent pour trois années et parce que les données sont traitées en Russie ».

Nous avons confronté les documents en notre possession à l’expertise de deux juristes spécialisés. Jean-Marc Van Gyseghem, d’abord, chercheur en droit à l’UNamur, avocat spécialisé dans la protection des données personnelles, associé chez Rawling Giles qui avait, à la demande d’une partie prenante, déjà réalisé une analyse complète de leur compatibilité avec le droit européen. Franck Dumortier, ensuite, chercheur Cyber and Data Security LAB à la VUB et consultant en sécurité des données, qui a examiné les termes à notre demande. Les deux confirment que l’hôpital en question a raison de se méfier.

Rappelons-le : les données manipulées, parce qu’elles concernent votre dossier de santé, sont précieuses. Il s’agit du résumé minimum hospitalier (qui contient un numéro de patient et de séjour propre à l’hôpital, les actes infirmiers et médicaux invasifs posés, vos pathologies…) et des données de facturation (données de contact du patient, médicaments prescrits, date d’entrée et de sortie…). Il est impératif – le secret médical n’existe pas pour rien – que ces informations ne tombent pas dans les mains de n’importe qui, qu’elles ne soient pas un jour utilisées « contre vous », à des fins discriminantes notamment. C’est pourquoi, elles sont classées « sensibles » par le RGPD. Leurs traitement, stockage et transfert sont encadrés par des règles complexes et strictes.

Dans le cas qui nous occupe, le parcours effectué par les données est le suivant : un premier transfert est opéré depuis les hôpitaux vers 3M Belgium, un deuxième transfert est ensuite effectué depuis 3M Belgium vers Smart Analytics, présentée comme une entreprise américaine mais dont les bureaux sont localisés en Russie. Les données sont « physiquement » stockées en Europe (en Allemagne, précisément) mais « elles sont rendues accessibles en Russie, ce qui constitue bien un transfert au sens du RGPD », précise Franck Dumortier.

Pour de tels voyages, les principes de sécurité informatique recommandent de « gommer » le lien entre les données et l’identité des patients. Soit via l’anonymisation : le procédé est alors irréversible, le lien brisé et tout problème en termes de vie privée est, de facto, écarté. Soit via la pseudonymisation : le procédé est réversible, plus ou moins difficilement, selon les mesures de sécurité déployées (niveau de cryptage, etc.). Les contrats 3M ne mentionnent jamais l’anonymisation. « Sur base des documents que j’ai pu voir, les données personnelles qui seront manipulées ne sont pas listées avec suffisamment de précision. En outre, le contrat rend la pseudonymisation obligatoire uniquement pour le transfert vers Smart Analytics, pas pour le stockage des données en Allemagne, c’est un problème. Par ailleurs, en ce qui concerne la transmission des données vers la Russie, le type et le niveau de pseudonymisation ne sont pas assez détaillés dans le contrat », poursuit Franck Dumortier.

Traduction ? En cas de hacking, il est impossible de savoir si les données stockées en Allemagne seront suffisamment protégées pour empêcher la ré-identification des patients. En ce qui concerne les données transmises vers la Russie, nul ne sait avec précision sur quelles données « pseudonymisées » les autorités russes pourraient mettre la main. En tous les cas : 3M ne s’engage pas contractuellement à apporter un niveau de protection suffisant à ces égards.
Un transfert sans balise vers la Russie

Comme 3M sous-traite la maintenance et la mise à jour des bases de données à une entreprise logée dans un pays tiers, le principe d’adéquation s’impose : le niveau de protection des données sensibles dans le pays tiers en question doit être le même qu’en Europe. Aux États-Unis comme en Russie, ce n’est pas le cas. Le transfert peut cependant avoir lieu dans le cadre de contrats (une clause contractuelle type dans le jargon ou « CCT », NDLR) passés entre entreprises.

3M a bien signé une CCT avec Smart Analytics USA mais il n’y a pas de trace à notre connaissance d’un tel document avec ses bureaux russes. « Un arrêt récent de la Cour de Justice européenne remet en outre fortement en question la validité des CCT », explique Jean-Marc Van Gyseghem. « À la lecture du contrat, il nous semble très difficile de considérer ce transfert vers la Russie comme conforme au RGPD. La responsabilité des hôpitaux pourrait clairement être engagée en cas de problème ».

Parmi, les complications possibles, comme mentionné plus haut, les services secrets russes pourraient très bien contraindre Smart Analytics à leur communiquer les données pseudonymisées…

« En décidant de traiter les données en Russie, 3M définit pourtant un moyen essentiel de leur traitement. Il s’agit là d’un indice parmi d’autres, selon moi, pour considérer que l’entreprise est “coresponsable”. Or le contrat la considère comme un simple sous-traitant », poursuit Franck Dumortier.

Une telle requalification des rôles impliquerait beaucoup plus de transparence pour le patient. Une base légale, soit son consentement éclairé ou un texte de loi qui encadrerait le traitement de ses données par l’entreprise privée, premièrement. Une obligation pour 3M de décrire au patient quelles données sont utilisées, par qui et dans quel but, ensuite. Enfin, 3M verrait sa responsabilité accrue en cas de violation constatée.

Actuellement, c’est l’hôpital qui encaissera quasi toutes les conséquences d’une mauvaise utilisation des données. Avec, notamment, des sanctions financières à la clé, potentiellement très lourdes. « Si une plainte est déposée par un patient et reçue, ce qui n’est pas le cas à ma connaissance, une annulation du contrat est possible, comme une amende qui peut aller jusqu’à 20 millions d’euros », expose Hielke Hijmans, président de la chambre contentieuse de l’Autorité de protection des données.
Le patient, grand perdant ?

Au sein des hôpitaux, le sujet est visiblement sensible ces derniers mois. On nous confirme cependant partout – même si le contrat ne le prévoit pas obligatoirement – que « les données sont cryptées avant envoi à 3M ». Via un logiciel fourni par l’entreprise mais développé par un tiers. Des sources internes, notamment actives dans les départements de sécurité informatique, disent avoir, malgré la présence de cet outil, des inquiétudes, qu’elles ont parfois partagées avec leur direction : « 3M nous a juste dit qu’il s’agit d’un programme de cryptage. En fait, l’hôpital encode les données et le logiciel tourne mais on n’en sait pas plus. Aucune information n’est communiquée. Les contrats ne sont jamais lus à fond, une question de priorités » ; « On peut imaginer que 3M pourrait facilement décrypter les données »…

Le dossier a donc atterri sur le bureau des fédérations du secteur. Du côté francophone, Santhea (fédération des hôpitaux publics) n’a pas donné suite à nos questions ; l’Unessa (fédération des hôpitaux privés) dit ne pas pouvoir se prononcer sur « des contrats auxquels elle n’a pas accès ». Du côté néerlandophone, Zorgnet Icuro, fédération des hôpitaux flamands, a récemment commandé une analyse de la conformité des contrats au RGPD au cabinet EY. Ce document ne nous a pas été communiqué. « Sur le plan technique, EY n’a relevé aucun problème ni danger concernant le traitement des données et la sécurité des systèmes (…). Les changements suggérés ne signifient pas que les contrats actuels enfreignent le RGPD, ils clarifient plutôt le rôle et les responsabilités de chaque partie », assure un responsable. 3M se serait engagé à effectuer les modifications recommandées lors du renouvellement des contrats.

Deux détails qui n’en sont pas : la problématique d’une sous-sous-traitance à la Russie ne semble pas avoir été abordée par l’audit d’EY, qui confirme également le fait que 3M n’est qu’un sous-traitant. L’entreprise n’aurait donc à l’avenir pas grand-chose de plus à justifier au patient inquiet du sort réservé à sa vie privée.

Ce dernier serait-il le grand perdant ? « Il a droit, en tout cas, à plus de transparence. Actuellement, il ne sait rien. Mais je pense que les hôpitaux sont également victimes de la position quasi-monopolistique de 3M », estime Jean-Marc Van Gyseghem.

Les explications de 3M Belgium

Amandine Cloot et A.C.

« 3M Belgium reconnaît la sensibilité des données relatives à la santé qui lui sont confiées et a pris des mesures significatives pour assurer la protection des droits et libertés des personnes concernées lorsque leurs données sont traitées par nos produits. Nous collaborons étroitement avec les hôpitaux belges pour leur fournir les garanties requises par le RGPD, dans nos contrats en tant que sous-traitant, pour leur compte. 3M Belgium propose à ses clients des contrats de traitement des données, ainsi qu’une description de nos garanties pour permettre aux délégués à la protection des données des hôpitaux d’évaluer leur pertinence. Toutes les données traitées sont codées, pseudonymisées et cryptées avant d’être soumises aux serveurs. Ni 3M Belgium, ni ses sous-traitants, n’ont la capacité d’identifier les patients individuels dans l’ensemble des données fournies par les hôpitaux. En outre, toutes les données sont physiquement stockées dans l’Espace Économique Européen. Nous utilisons un sous-traitant, dénommé Smart Analytics, qui a fait l’objet d’une évaluation complète et qui s’est engagé contractuellement à fournir le même niveau de protection que celui que 3M Belgium offre aux hôpitaux belges. Le personnel de Smart Analytics étant situé en Russie, des clauses contractuelles types (CCT) sont conclues afin de garantir aux personnes concernées l’opposabilité de leurs droits et des recours juridiques effectifs. »

#[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #santé (...)

##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##3M

https://plus.lesoir.be/sites/default/files/dpistyles_v2/ena_16_9_extra_big/2021/03/21/node_362026/27978656/public/2021/03/21/B9726478355Z.1_20210321155538_000+GF5HQC9K7.1-0.jpg

Sommes-nous protégés des algorithmes qu’utilisent les administrations publiques ?
▻https://plus.lesoir.be/361332/article/2021-03-20/la-chronique-carta-academica-sommes-nous-proteges-des-algorithmes-quutil

Lorsque les algorithmes sont sur le devant de la scène médiatique, la lumière est souvent mise sur les conséquences de leur utilisation par le secteur privé, à l’image de ceux qui régissent les réseaux sociaux. Pourtant, parmi les algorithmes impactant nos vies, la généralisation des algorithmes d’aide à la prise de décision dans le secteur public passe trop souvent inaperçue : lutte contre la fraude fiscale, attribution d’allocations sociales, police prédictive, admissions à l’université, diagnostic (...)

#algorithme #données #fiscalité #biais #discrimination #pauvreté #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR)

##fiscalité ##pauvreté ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_

Steden volgen bezoekers tot in hun portemonnee
▻https://www.tijd.be/ondernemen/technologie/Steden-volgen-bezoekers-tot-in-hun-portemonnee/10292453

Wie zijn de bezoekers van uw stad, waar komen ze vandaan en hoeveel geven ze uit ? Steden voeren lang op buikgevoel, maar dat is voorbij. Met gsm-signalen en betaaldata zetten Knokke, Kortrijk en Leuven zichzelf slimmer in de markt. In het station van Luxemburg-stad hangt een reclamebanner om Knokke aan te prijzen. Dat is geen lukrake keuze, maar het resultaat van harde data die de mondaine badstad sinds 2019 over zijn bezoekers aangeleverd krijgt. ’Onze dienst toerisme heeft een intern (...)

#MasterCard #Proximus #carte #smartphone #géolocalisation #données #DataBrokers #marketing #profiling (...)

##_
►https://images.tijd.be/view

Pour une politique publique de la donnée | Les Echos

▻https://www.lesechos.fr/idees-debats/cercle/opinion-pour-une-politique-publique-de-la-donnee-1299481

https://media.lesechos.com/api/v1/images/view/6038ac9f8fe56f477569c336/1280x720/216575-1.jpg

Par Emmanuel Larere (avocat associé chez Gide Loyrette Nouel)
Publié le 18 mars 2021 à 13:39Mis à jour le 18 mars 2021 à 13:42

Les administrations et organisations publiques disposent d’un patrimoine de données d’une grande richesse, dont leur valorisation est devenue un enjeu prioritaire. Néanmoins, le récent rapport Bothorel montre que le potentiel d’innovation de l’open data peine à être perçu. Les citoyens attendent des acteurs publics, au moins le même niveau de services que celui qu’ils reçoivent des entreprises privées.

Pour réussir cette transformation, la gouvernance doit s’appuyer sur plusieurs leviers :
– une cartographie exhaustive des données, leurs définitions, mais également leur qualité, essentielle pour que les différentes organisations puissent en tirer parti et mesurer l’impact des politiques publiques engagées.
– Le partage de ces données entre l’État, les administrations publiques, les collectivités et les acteurs sociaux et économiques. Il faut saluer l’initiative de l’IGN qui a mis en accès libre et gratuit, toutes ses données publiques pour contribuer au plan de relance de l’économie.
– La mise à disposition de cette donnée et des moyens d’action associés pour le citoyen, permettant de l’associer aux processus de gouvernance.

#données #data #sources_ouvertes #bien_public #statistiques

La CNIL enquête sur les données personnelles conservées par Clubhouse, le réseau social audio
▻https://www.lemonde.fr/pixels/article/2021/03/17/la-cnil-enquete-sur-les-donnees-personnelles-conservees-par-clubhouse-le-res

Le gendarme de la protection des données indique avoir « ouvert une instruction » à la suite de signalements sur les risques que présente l’application pour iPhone qui permet de converser en direct. L’autorité française de protection des données personnelles des internautes (CNIL) a annoncé dans un communiqué, mercredi 17 mars, avoir « ouvert une instruction et effectué des premières vérifications » pour savoir si l’application Clubhouse respectait le règlement général de protection des données (RGPD). (...)

#Clubhouse_ #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données (...)

##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##CNIL

https://img.lemde.fr/2021/03/15/333/0/4000/2000/1440/720/60/0/638ed9b_a5507c9a0c164216b9c6613c1be3e052-a5507c9a0c164216b9c6613c1be3e052-0.jpg

Paleis der Natie | Een kleine oorlog in de covidmarge
▻https://www.tijd.be/opinie/paleis/paleis-der-natie-een-kleine-oorlog-in-de-covidmarge/10290834.html

Bij de Gegevensbeschermingsautoriteit (GBA) woedt een opmerkelijk conflict dat de Franstalige media bezighoudt. De inzet lijkt de machtspositie van Frank Robben, de gedelegeerd bestuurder van Smals, de ICT-arm van de overheid. Het parlement kijkt toe. Een sleutelscène in het docudrama ‘Brexit : An Uncivil War’ is een ontmoeting in Hyde Park in Londen. Dominic Cummings, de excentrieke campagneleider van het Leave-kamp, treft Zack Massingham. Hij is medeoprichter van het Canadese bedrijf (...)

#Smals #données #élections #COVID-19 #santé #surveillance

##santé
►https://images.tijd.be/view

Tesla (TSLA), Cloudfare (NET) Breached in Verkada Security Camera Hack
▻https://www.bloomberg.com/news/articles/2021-03-09/hackers-expose-tesla-jails-in-breach-of-150-000-security-cams?sref=ylv224

A group of hackers say they breached a massive trove of security-camera data collected by Silicon Valley startup Verkada Inc., gaining access to live feeds of 150,000 surveillance cameras inside hospitals, companies, police departments, prisons and schools. Companies whose footage was exposed include carmaker Tesla Inc. and software provider Cloudflare Inc. In addition, hackers were able to view video from inside women’s health clinics, psychiatric hospitals and the offices of Verkada (...)

#Tesla #CCTV #données #vidéo-surveillance #hacking #surveillance

https://assets.bwbx.io/images/users/iqjWHBFdfxIU/i_jr7UcL_A1k/v0/1200x900.png

Vie privée : Mathieu Michel annonce l’arrêt du projet de croisement des données des Belges
▻https://plus.lesoir.be/360296/article/2021-03-11/vie-privee-mathieu-michel-annonce-larret-du-projet-de-croisement-des-don

Questionné à la Chambre, le secrétaire d’Etat à la Protection de la vie privée déclare qu’il a mis fin au projet « Putting data at the center », visant à croiser et regrouper les différentes données personnelles des citoyens et entreprises. C’est à une batterie de cinq questions, toutes posées par des députés francophones, que le secrétaire d’Etat à la digitalisation et à la Protection de la vie privée a dû répondre, jeudi au Parlement, après nos révélations sur l’étonnant projet « Putting data at the center », (...)

#Smals #données #fiscalité #justice #profiling #santé

##fiscalité ##santé

https://plus.lesoir.be/sites/default/files/dpistyles_v2/ena_16_9_extra_big/2021/03/11/node_360296/27965659/public/2021/03/11/B9726397546Z.1_20210311191312_000+G8IHOL694.2-0.jpg

Doctolib : le chiffrement des données incomplet ?
▻https://www.franceinter.fr/justice/doctolib-le-chiffrement-des-donnees-incomplet

La plateforme de prise de rendez-vous Doctolib assure une sécurisation des données que les patients lui confient. Nous avons procédé à un test pour vérifier comment ces données étaient sécurisées. Verdict : les données ne sont pas chiffrées de bout en bout, ce que la société conteste. Pour prendre rendez-vous avec un médecin, ou pour se faire vacciner, de plus en plus d’utilisateurs ont recours à la plateforme de prise de rendez-vous en ligne Doctolib. Pour ce faire, il faut créer un compte, fournir des (...)

#Amazon #Doctolib #cryptage #données #CloudComputing #AmazonWebServices-AWS #santé #COVID-19 (...)

##santé ##Conseild'État-FR

https://cdn.radiofrance.fr/s3/cruiser-production/2021/03/fe711fd3-7efd-49e9-92b5-8d222059cab4/1200x680_080_hl_rlongieras_1312323.jpg

Vie privée : un projet sans contrôle de l’Etat pour « profiler » les Belges
▻https://plus.lesoir.be/359783/article/2021-03-10/vie-privee-un-projet-sans-controle-de-letat-pour-profiler-les-belges

En roue libre, sans aucun mandat ni contrôle politique, l’ASBL informatique de l’Etat, pilotée par Frank Robben, a finalisé un outil permettant d’avoir une « vision globale sur les citoyens et les entreprises ». Comment ? En croisant toutes les données (santé, sociales, fiscales, justice…). Son nom : « Putting Data at the Center ». « Une horreur », affirment nos sources.

Au départ, c’est une idée toute bête. De celles que l’on jette à la volée à la machine à café. Sans réellement en mesurer l’énormité. Persuadés, tel Mark Twain, que parce que c’est impossible, ils pourront le faire. A la Smals, l’ASBL qui assure la quasi-totalité des prestations informatiques de l’Etat, en tout cas, on y croit. Ils ont les ressources, les compétences, des bases de données (celles de la sécurité sociale et de la santé). Et si elle ne les gère pas directement, pas grave : on en discute au sein du GCloud, l’organe de pouvoir de la Smals où se retrouvent tous les directeurs informatiques des services publics fédéraux (SPF Finances, Economie…). A sa tête, l’incontournable et omnipotent Frank Robben, patron de la Smals qui occupe tous les étages de l’écosystème de traitement de données de l’Etat, de l’écriture des lois à leur mise en œuvre, en passant par le contrôle.

Pour amorcer leur idée, il manque néanmoins un élément majeur : un mandat. Soit une loi, votée par le parlement, passage obligatoire. Pas grave. Le projet, baptisé « Putting data at the center » (PDC), va bel et bien démarrer en 2018. En mode sous-marin. Sans aucun contrôle politique, au nez et à la barbe de l’Autorité de protection des données, du gouvernement. « Un fantasme de techniciens en roue libre », « au mépris de toutes les procédures régissant le respect de la vie privée ». En réalité, comme nous l’ont confirmé plusieurs sources : un « monstre », façonné dans une usine à gaz dont la complexité est devenue l’ultime gage de survie.

Tabou suprême

« Putting data at the center », c’est le tabou suprême dans un Etat démocratique, celui d’un immense carrefour où se croisent toutes les bases de données ultra-sensibles, traditionnellement décentralisées et inviolables. Sur les documents qu’un vent favorable a déposés au Soir, on y perçoit aussi les logos de partenaires privés (la KBC, Fostplus…), présentés comme des « clients potentiels », lesquels auraient affiché une marque d’intérêt, mais comme le montre la feuille de route, sans aller au-delà du stade de l’analyse du projet. « Mais l’idée », confirme une de nos sources, « consiste bel et bien à ouvrir les données du public et de les mélanger au privé. Ça, c’est du délire total. A côté de ça, Facebook, c’est mieux. »

Selon la méthode de conception de projets informatiques dite « Agile », PDC en serait au « sprint 21.3 ». Pour faire court, cela signifie la 21e livraison du produit, sur lequel planchent 6 consultants de la Smals. Soit, selon une source, un budget engagé de l’ordre de 1 à 2 millions d’euros. Plusieurs pilotes sont d’ores et déjà ficelés. L’outil est bel et bien là : une porte d’accès unique, un « grand carrefour » où se croisent ce que l’on appelle les « sources authentiques », soit les bases de données certifiées par l’Etat sur l’ensemble des événements de la vie des Belges. On y voit donc le registre national (nom, adresse, date de naissance, composition de la famille…) côtoyer des données que légalement on ne peut en aucun cas mixer (santé, sécurité sociale, fiscales, justice, économiques…). Le tout, ouvert à des partenaires privés. Avec une dose « d’open data », soit des jeux de données anonymisées « à réinjecter au sein de l’écosystème digital de la société » (entreprises, académiques…).Retour ligne automatique
Croisements de données infinis

A la lecture des documents en notre possession, rien n’indique la moindre finalité malveillante. Mais, relève immédiatement ce haut fonctionnaire touché à son corps défendant par ce projet, il y a là, très clairement, de quoi permettre de « profiler » chaque Belge, en fonction de son « pedigree » social, fiscal, juridique, économique, sanitaire… ? « Sur cette base, tous les croisements imaginables deviennent techniquement possibles. Imaginez par exemple le fait de mélanger les données des Finances et de la Justice… Un scandale ».

L’idée du respect de la vie privée traverse bel et bien le projet. Mais elle ne le charpente pas, selon le principe cardinal de « privacy by design » (qui vise à intégrer la vie privée dès la conception). « Comme toujours, cela part d’une bonne intention, mais ce n’est pas à la Smals de le décider », poursuit cet observateur. « L’idée de croiser certaines données pour simplifier la vie des gens, pourquoi pas. Sauf qu’ici on balaie tous les principes ».

A commencer par celui qui indique que seul le citoyen peut accéder à ses propres données, dont il est propriétaire. Si des « sources authentiques » (soit les bases de données certifiées, comme le registre national, le dossier médical, la sécu…) souhaitent se « parler », elles ne peuvent le faire qu’à deux conditions sacrées, par ailleurs bétonnées par le Règlement général sur la protection des données (RGPD) : la finalité légale (y être autorisé par une loi dans un but précis). Et la proportionnalité (ne consulter que les données que l’on a le droit de voir). Or, le but du projet est clair : offrir « une vision globale sur les citoyens et les entreprises ». Ce qui, relève immédiatement Elise Degrave, professeur de droit à l’UNamur et experte en e-gouvernement, « n’est pas une finalité valable ». « Avoir une vue pour quoi ? Pour contrôler les profils incohérents ? Pour faire des statistiques ? Non, il faut une fin en soi. »

Et pour cela, il faut une loi, un texte législatif qui, en amont, encadre le projet. Or, ici, la Smals n’est mandatée ni par le parlement, ni par un ministre, ni par le moindre document administratif probant. « Et comme ce projet n’a pas d’encadrement légal, il devient quasi impossible de l’attaquer, le condamner ou d’introduire un recours », poursuit la chercheuse. « Si on ne sait pas, notamment grâce à la presse ou des taupes dans l’administration, que l’outil a été créé, on ne sait pas qu’il existe. Or, il n’y a pas de demande à la base. Bref, ce projet est à ce point hors-la-loi qu’il n’y a même pas de loi. Et comme il n’y a pas de cadre légal, il est même impossible de le contrôler. C’est inadmissible. »Retour ligne automatique
« Le politique a perdu pied »

« Le système de décentralisation des bases de données, imaginé par Frank Robben, a toujours bien fonctionné », concède notre source à l’administration. « Mais depuis 3 ou 4 ans, on observe une réelle tentation chez les responsables informatiques de l’administration d’échanger ces données entre eux. C’est là que le flou est apparu. Le politique a absolument perdu pied dans les discussions, purement techniques. Donc, ce sont les techniciens qui ont pris le pouvoir. “Putting data at the center”, c’est une idée de techniciens. Il n’y a pas un seul client. Pas un seul SPF qui dit “j’ai envie de ça”. Cela a été imaginé sans sponsoring, sans business case. Mais on l’a quand même développé… En se disant, on trouvera bien un intérêt. »

Les auteurs des documents sur l’état d’avancement du projet relèvent d’ailleurs eux-mêmes les « risques » liés au dossier. Comme le fait que, « pour des raisons de sécurité, le Registre national n’offrira pas (facilement) le contenu de ses sources authentiques ». On y lit aussi quelques pépins majeurs qui, aux yeux des juristes consultés, relèvent du dérapage incontrôlé. Le fait, par exemple, que, à tout le moins dans l’environnement de test, la plupart des données « ne sont pas toujours anonymisées ». « Et peuvent être vues par des personnes non autorisées ». La réponse validée par le comité de pilotage : « Accepter le risque pour les testeurs »… Dont acte.

Ce n’est pas tout. Sur le fait que « Putting data at the center » ne respecte ni la loi ni le RGPD, la réponse au risque est renversante : « La solution nécessite un amendement de la loi ». En clair, traduisent en chœur nos différentes sources : « A charge pour Frank Robben de changer les règles en faisant valider le dossier par le Comité de sécurité de l’information ». Le CSI, c’est cet ovni institutionnel, échappant aux radars du parlement, du Conseil d’Etat, de l’Autorité de protection des données ou des tribunaux, et dont Frank Robben rédige lui-même les « délibérations ». Traduisez : les autorisations de traitement de données par les autorités publiques, comme il l’a fait dans le cadre de la crise covid pour le testing, le tracing et la vaccination, en contradiction flagrante avec le RGPD.

Visiblement refroidis par l’accueil un peu frileux de leur projet (notamment par certains SPF), leurs auteurs conseillent aussi d’en changer le nom. « Putting data at the center » (« Centralisez les données ») n’était peut-être finalement pas la meilleure des idées…

A noter que la Smals n’a pas donné suite à notre demande d’interview de Frak Robben. Et que son porte-parole nous dit ne « pas être au courant » du projet « Putting data at the center ».

« Ils chipotent dans les bases de données de la Sûreté de l’Etat »

Philippe Laloux

Pour travailler avec la Smals, en gros la plus grosse boîte informatique du pays (près de 2.000 collaborateurs, 350 millions de chiffre d’affaires), il ne faut pas être « client » mais bien « membre ». La nuance est de taille. Son statut d’ASBL publique lui permet en effet de profiter de quelques précieuses exceptions à la loi sur les marchés publics (en clair, de s’en passer). Ou encore de se soustraire à la TVA de 21 %. « Ce qui, en soi, constitue une bonne utilisation des deniers publics », tempère un observateur.

Elle n’est pas la seule. En Wallonie, une intercommunale, Imio, propose ses services « open source » à des tas de communes qui n’ont pas les moyens de s’offrir un marché avec des géants de la tech. A Bruxelles, c’est le Cirb qui offre son support IT aux autorités et organismes publics. Mais, à la différence de la Smals, eux dépendent directement de l’administration. Ce qui offre une transparence totale sur leurs activités. L’ASBL dirigée par Frank Robben ne dépend de personne. Pour avoir des informations sur un contrat en particulier, c’est galère. Invariablement, sous couvert… de la protection des données, on vous renvoie vers le membre en question.

La Smals, aujourd’hui, en compte près de 300. Parmi eux : l’Autorité de protection des données, où Frank Robben siège par ailleurs comme membre externe du Centre de connaissances. C’est donc sans appel d’offres que l’APD s’est tournée vers la Smals en 2020 pour refaire son site Web, qui présente l’institution et permet de télécharger un formulaire de plainte. Montant de la facture : 120.236 euros.

Il arrive aussi que la Smals ne soit pas la bienvenue. C’est le cas à la Sûreté de l’Etat où, apprend Le Soir, le fait de voir défiler 70 consultants dans les couloirs et « chipoter dans les bases de données » a provoqué un début de scandale au sein des services de renseignement. C’est à la faveur de l’arrivée du nouveau comité de direction que la Smals avait été mandatée, en 2017, pour renouveler l’informatique de la Sûreté. Un dossier particulier délicat. « Mais pendant 3 ou 4 mois, ils ont travaillé sans aucune habilitation de sécurité », alors que ce type de donnée est classé « très secret ».

L’idée de la Smals consiste à « tout centraliser », raconte notre source. Tout ? « Oui, permettre d’accéder à toutes les données, y compris fiscales, de justice, concernant une personne reprise dans la base de la Sûreté ». Soit un million de Belges. « Et puis le chantier a dérapé. » Budgété au départ à 7 millions, il en est, 4 ans plus tard, à près de 23 millions, « soit la totalité du supplément de budget accordé au lendemain des attentats. « C’est pire que la gare de Mons. Et à part un nouveau layout pour le site, on utilise les mêmes outils archaïques. Où est parti cet argent ? », s’interrogent ces agents de la Sûreté. A noter que les services de renseignement se sont opposés fermement à la demande de la Smals d’emporter le disque dur contenant la base de données… « Ce qui aurait posé un problème majeur de sécurité. »

#données #fiscalité #profiling #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

##fiscalité ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##Smals

https://plus.lesoir.be/sites/default/files/dpistyles_v2/ena_16_9_extra_big/2021/03/10/node_359783/27961931/public/2021/03/10/B9726370026Z.1_20210310070125_000+GQ1HOB08D.1-0.jpg

Data Action. Using Data for Public Good
▻https://we-make-money-not-art.com/data-action-using-data-for-public-good

Many books denounce the creation, collection and analysis of data as a source of discrimination, injustice, exclusion. This one goes one step further. Data, Sarah Williams explains, has the same potential to harm society as it has to do good. She knows from experience that data cannot be dissociated from the ideologies of the organisations and individuals who control its use. She also knows how to deploy the power of data to enhance learning, solidarity, dialogue, to raise debate and to (...)

#cartographie #données #discrimination #pauvreté #art

##pauvreté

https://i2.wp.com/we-make-money-not-art.com/wp-content/uploads/2021/03/RTSPUF7PDA7B5FM3AHQVSCWZXI.jpg

Vaccins : le Conseil d’Etat examine le partenariat entre Santé.fr et Doctolib
▻https://www.lemonde.fr/pixels/article/2021/03/08/campagne-de-vaccination-le-conseil-d-etat-appele-a-se-prononcer-sur-le-parte

Des associations et syndicats s’inquiètent du fait que la plate-forme héberge ses données sur les serveurs de la société américaine Amazon, mais Doctolib assure que les informations médicales des Français sont protégées. Si l’on cherche sur le site gouvernemental Santé.fr où se faire vacciner contre le Covid-19, on peut trouver une liste de centres de vaccination par département, ainsi que des liens pour prendre rendez-vous directement en ligne, en passant par des plates-formes de rendez-vous médicaux (...)

#Microsoft #Amazon #AmazonWebServices-AWS #Doctolib #cryptage #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) #données #HealthDataHub #santé #COVID-19 #PrivacyShield #CJUE (...)

##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##santé ##CNIL ##Conseild'État-FR

https://img.lemde.fr/2018/01/06/272/0/5184/2589/1440/720/60/0/f761671_25045-1j19p69.3ujy.jpg

Le MR demande à son tour à Frank Robben de faire un choix entre ses cumuls
▻https://www.rtbf.be/info/belgique/detail_le-mr-demande-a-son-tour-a-frank-robben-de-faire-un-choix-entre-ses-cumu

Frank Robben, qui cumule les casquettes d’administrateur général de la Banque carrefour de la Sécurité sociale (BCSS) et de membre du centre de connaissances (conseiller) de l’Autorité de protection des données (APD), doit faire un choix entre ces deux fonctions, a affirmé vendredi le président du MR Georges-Louis Bouchez. Plus tôt en matinée, l’intéressé avait réfuté sur La Première (RTBF) toute forme de conflit d’intérêts. "Je n’ai participé à aucune décision, à aucune délibération sur des dossiers où (...)

#domination #données #APD-Belgique

https://ds1.static.rtbf.be/article/image/1248x702/4/c/2/d33eda41c470bb5dd4f9a7ccc6c2eaeb-1614941157.jpg

Piratage informatique : une faille chez Microsoft touche 30 000 organisations américaines
▻https://www.lemonde.fr/pixels/article/2021/03/06/piratage-informatique-une-faille-chez-microsoft-touche-30-000-organisations-

Selon un spécialiste de la cybersécurité, l’Etat chinois serait derrière cette attaque sur la messagerie Exchange du géant de l’informatique. Des dizaines de milliers d’entreprises, villes et institutions locales aux Etats-Unis ont subi des attaques d’un groupe de hackers soutenus par l’Etat chinois, selon un spécialiste de la cybersécurité, lequel a donné des détails, vendredi 5 mars, à propos d’un piratage de la messagerie de Microsoft. « Au moins 30 000 organisations (…) ont été piratées au cours des (...)

#Microsoft #données #hacking

https://img.lemde.fr/2021/03/02/59/0/3500/1750/1440/720/60/0/1e1fa0f_fw1-usa-cyber-microsoft-0302-11.JPG

Et si tous les clients d’un géant européen de l’assurance étaient victimes d’un « rançongiciel » ?
▻https://usbeketrica.com/fr/et-si-tous-les-clients-d-un-geant-europeen-de-l-assurance-etaient-victi

Quels sont les « futurs chocs » qui nous attendent ? Usbek & Rica a demandé à Guy-Philippe Goldstein, auteur de romans d’anticipation, enseignant et chercheur sur les questions de cybersécurité et de cyberpuissance, d’explorer cette question à travers une série de micro-fictions. Dans ce nouvel épisode, l’auteur met en scène un géant de l’assurance victime d’un « rançongiciel ». Jeudi 5 mai, 15h – Bureau de Paul Schuller, CEO & Chairman, Axalliance C’est lundi, dans la soirée, que tout a commencé. (...)

#ransomware #criminalité #données #art

##criminalité

https://usbeketrica.com/uploads/media/1200x633/03/75183-32V524TJKF3ZIK3RLZSJJJCSAY.jpg

Data and displacement, Missing migrants

The authors in our Data and displacement feature discuss recent advances in gathering and using data, the challenges that remain, and new approaches, including in the face of pandemic-imposed restrictions.

Unknown numbers of migrants die or disappear during their perilous journeys, and their families are often left in limbo. In our Missing migrants feature, authors explore initiatives to improve data gathering and sharing, identification of remains, and assistance for families left behind.

►https://www.fmreview.org/issue66
#données #statistiques #migrations #décès #disparitions #morts #pandémie #covid-19 #coronavirus #limbe #Missing_migrants #identification #ceux_qui_restent #celleux_qui_restent