En roue libre, sans aucun mandat ni contrôle politique, l’ASBL informatique de l’Etat, pilotée par Frank Robben, a finalisé un outil permettant d’avoir une « vision globale sur les citoyens et les entreprises ». Comment ? En croisant toutes les données (santé, sociales, fiscales, justice…). Son nom : « Putting Data at the Center ». « Une horreur », affirment nos sources.
Au départ, c’est une idée toute bête. De celles que l’on jette à la volée à la machine à café. Sans réellement en mesurer l’énormité. Persuadés, tel Mark Twain, que parce que c’est impossible, ils pourront le faire. A la Smals, l’ASBL qui assure la quasi-totalité des prestations informatiques de l’Etat, en tout cas, on y croit. Ils ont les ressources, les compétences, des bases de données (celles de la sécurité sociale et de la santé). Et si elle ne les gère pas directement, pas grave : on en discute au sein du GCloud, l’organe de pouvoir de la Smals où se retrouvent tous les directeurs informatiques des services publics fédéraux (SPF Finances, Economie…). A sa tête, l’incontournable et omnipotent Frank Robben, patron de la Smals qui occupe tous les étages de l’écosystème de traitement de données de l’Etat, de l’écriture des lois à leur mise en œuvre, en passant par le contrôle.
Pour amorcer leur idée, il manque néanmoins un élément majeur : un mandat. Soit une loi, votée par le parlement, passage obligatoire. Pas grave. Le projet, baptisé « Putting data at the center » (PDC), va bel et bien démarrer en 2018. En mode sous-marin. Sans aucun contrôle politique, au nez et à la barbe de l’Autorité de protection des données, du gouvernement. « Un fantasme de techniciens en roue libre », « au mépris de toutes les procédures régissant le respect de la vie privée ». En réalité, comme nous l’ont confirmé plusieurs sources : un « monstre », façonné dans une usine à gaz dont la complexité est devenue l’ultime gage de survie.
Tabou suprême
« Putting data at the center », c’est le tabou suprême dans un Etat démocratique, celui d’un immense carrefour où se croisent toutes les bases de données ultra-sensibles, traditionnellement décentralisées et inviolables. Sur les documents qu’un vent favorable a déposés au Soir, on y perçoit aussi les logos de partenaires privés (la KBC, Fostplus…), présentés comme des « clients potentiels », lesquels auraient affiché une marque d’intérêt, mais comme le montre la feuille de route, sans aller au-delà du stade de l’analyse du projet. « Mais l’idée », confirme une de nos sources, « consiste bel et bien à ouvrir les données du public et de les mélanger au privé. Ça, c’est du délire total. A côté de ça, Facebook, c’est mieux. »
Selon la méthode de conception de projets informatiques dite « Agile », PDC en serait au « sprint 21.3 ». Pour faire court, cela signifie la 21e livraison du produit, sur lequel planchent 6 consultants de la Smals. Soit, selon une source, un budget engagé de l’ordre de 1 à 2 millions d’euros. Plusieurs pilotes sont d’ores et déjà ficelés. L’outil est bel et bien là : une porte d’accès unique, un « grand carrefour » où se croisent ce que l’on appelle les « sources authentiques », soit les bases de données certifiées par l’Etat sur l’ensemble des événements de la vie des Belges. On y voit donc le registre national (nom, adresse, date de naissance, composition de la famille…) côtoyer des données que légalement on ne peut en aucun cas mixer (santé, sécurité sociale, fiscales, justice, économiques…). Le tout, ouvert à des partenaires privés. Avec une dose « d’open data », soit des jeux de données anonymisées « à réinjecter au sein de l’écosystème digital de la société » (entreprises, académiques…).Retour ligne automatique
Croisements de données infinis
A la lecture des documents en notre possession, rien n’indique la moindre finalité malveillante. Mais, relève immédiatement ce haut fonctionnaire touché à son corps défendant par ce projet, il y a là, très clairement, de quoi permettre de « profiler » chaque Belge, en fonction de son « pedigree » social, fiscal, juridique, économique, sanitaire… ? « Sur cette base, tous les croisements imaginables deviennent techniquement possibles. Imaginez par exemple le fait de mélanger les données des Finances et de la Justice… Un scandale ».
L’idée du respect de la vie privée traverse bel et bien le projet. Mais elle ne le charpente pas, selon le principe cardinal de « privacy by design » (qui vise à intégrer la vie privée dès la conception). « Comme toujours, cela part d’une bonne intention, mais ce n’est pas à la Smals de le décider », poursuit cet observateur. « L’idée de croiser certaines données pour simplifier la vie des gens, pourquoi pas. Sauf qu’ici on balaie tous les principes ».
A commencer par celui qui indique que seul le citoyen peut accéder à ses propres données, dont il est propriétaire. Si des « sources authentiques » (soit les bases de données certifiées, comme le registre national, le dossier médical, la sécu…) souhaitent se « parler », elles ne peuvent le faire qu’à deux conditions sacrées, par ailleurs bétonnées par le Règlement général sur la protection des données (RGPD) : la finalité légale (y être autorisé par une loi dans un but précis). Et la proportionnalité (ne consulter que les données que l’on a le droit de voir). Or, le but du projet est clair : offrir « une vision globale sur les citoyens et les entreprises ». Ce qui, relève immédiatement Elise Degrave, professeur de droit à l’UNamur et experte en e-gouvernement, « n’est pas une finalité valable ». « Avoir une vue pour quoi ? Pour contrôler les profils incohérents ? Pour faire des statistiques ? Non, il faut une fin en soi. »
Et pour cela, il faut une loi, un texte législatif qui, en amont, encadre le projet. Or, ici, la Smals n’est mandatée ni par le parlement, ni par un ministre, ni par le moindre document administratif probant. « Et comme ce projet n’a pas d’encadrement légal, il devient quasi impossible de l’attaquer, le condamner ou d’introduire un recours », poursuit la chercheuse. « Si on ne sait pas, notamment grâce à la presse ou des taupes dans l’administration, que l’outil a été créé, on ne sait pas qu’il existe. Or, il n’y a pas de demande à la base. Bref, ce projet est à ce point hors-la-loi qu’il n’y a même pas de loi. Et comme il n’y a pas de cadre légal, il est même impossible de le contrôler. C’est inadmissible. »Retour ligne automatique
« Le politique a perdu pied »
« Le système de décentralisation des bases de données, imaginé par Frank Robben, a toujours bien fonctionné », concède notre source à l’administration. « Mais depuis 3 ou 4 ans, on observe une réelle tentation chez les responsables informatiques de l’administration d’échanger ces données entre eux. C’est là que le flou est apparu. Le politique a absolument perdu pied dans les discussions, purement techniques. Donc, ce sont les techniciens qui ont pris le pouvoir. “Putting data at the center”, c’est une idée de techniciens. Il n’y a pas un seul client. Pas un seul SPF qui dit “j’ai envie de ça”. Cela a été imaginé sans sponsoring, sans business case. Mais on l’a quand même développé… En se disant, on trouvera bien un intérêt. »
Les auteurs des documents sur l’état d’avancement du projet relèvent d’ailleurs eux-mêmes les « risques » liés au dossier. Comme le fait que, « pour des raisons de sécurité, le Registre national n’offrira pas (facilement) le contenu de ses sources authentiques ». On y lit aussi quelques pépins majeurs qui, aux yeux des juristes consultés, relèvent du dérapage incontrôlé. Le fait, par exemple, que, à tout le moins dans l’environnement de test, la plupart des données « ne sont pas toujours anonymisées ». « Et peuvent être vues par des personnes non autorisées ». La réponse validée par le comité de pilotage : « Accepter le risque pour les testeurs »… Dont acte.
Ce n’est pas tout. Sur le fait que « Putting data at the center » ne respecte ni la loi ni le RGPD, la réponse au risque est renversante : « La solution nécessite un amendement de la loi ». En clair, traduisent en chœur nos différentes sources : « A charge pour Frank Robben de changer les règles en faisant valider le dossier par le Comité de sécurité de l’information ». Le CSI, c’est cet ovni institutionnel, échappant aux radars du parlement, du Conseil d’Etat, de l’Autorité de protection des données ou des tribunaux, et dont Frank Robben rédige lui-même les « délibérations ». Traduisez : les autorisations de traitement de données par les autorités publiques, comme il l’a fait dans le cadre de la crise covid pour le testing, le tracing et la vaccination, en contradiction flagrante avec le RGPD.
Visiblement refroidis par l’accueil un peu frileux de leur projet (notamment par certains SPF), leurs auteurs conseillent aussi d’en changer le nom. « Putting data at the center » (« Centralisez les données ») n’était peut-être finalement pas la meilleure des idées…
A noter que la Smals n’a pas donné suite à notre demande d’interview de Frak Robben. Et que son porte-parole nous dit ne « pas être au courant » du projet « Putting data at the center ».
« Ils chipotent dans les bases de données de la Sûreté de l’Etat »
Philippe Laloux
Pour travailler avec la Smals, en gros la plus grosse boîte informatique du pays (près de 2.000 collaborateurs, 350 millions de chiffre d’affaires), il ne faut pas être « client » mais bien « membre ». La nuance est de taille. Son statut d’ASBL publique lui permet en effet de profiter de quelques précieuses exceptions à la loi sur les marchés publics (en clair, de s’en passer). Ou encore de se soustraire à la TVA de 21 %. « Ce qui, en soi, constitue une bonne utilisation des deniers publics », tempère un observateur.
Elle n’est pas la seule. En Wallonie, une intercommunale, Imio, propose ses services « open source » à des tas de communes qui n’ont pas les moyens de s’offrir un marché avec des géants de la tech. A Bruxelles, c’est le Cirb qui offre son support IT aux autorités et organismes publics. Mais, à la différence de la Smals, eux dépendent directement de l’administration. Ce qui offre une transparence totale sur leurs activités. L’ASBL dirigée par Frank Robben ne dépend de personne. Pour avoir des informations sur un contrat en particulier, c’est galère. Invariablement, sous couvert… de la protection des données, on vous renvoie vers le membre en question.
La Smals, aujourd’hui, en compte près de 300. Parmi eux : l’Autorité de protection des données, où Frank Robben siège par ailleurs comme membre externe du Centre de connaissances. C’est donc sans appel d’offres que l’APD s’est tournée vers la Smals en 2020 pour refaire son site Web, qui présente l’institution et permet de télécharger un formulaire de plainte. Montant de la facture : 120.236 euros.
Il arrive aussi que la Smals ne soit pas la bienvenue. C’est le cas à la Sûreté de l’Etat où, apprend Le Soir, le fait de voir défiler 70 consultants dans les couloirs et « chipoter dans les bases de données » a provoqué un début de scandale au sein des services de renseignement. C’est à la faveur de l’arrivée du nouveau comité de direction que la Smals avait été mandatée, en 2017, pour renouveler l’informatique de la Sûreté. Un dossier particulier délicat. « Mais pendant 3 ou 4 mois, ils ont travaillé sans aucune habilitation de sécurité », alors que ce type de donnée est classé « très secret ».
L’idée de la Smals consiste à « tout centraliser », raconte notre source. Tout ? « Oui, permettre d’accéder à toutes les données, y compris fiscales, de justice, concernant une personne reprise dans la base de la Sûreté ». Soit un million de Belges. « Et puis le chantier a dérapé. » Budgété au départ à 7 millions, il en est, 4 ans plus tard, à près de 23 millions, « soit la totalité du supplément de budget accordé au lendemain des attentats. « C’est pire que la gare de Mons. Et à part un nouveau layout pour le site, on utilise les mêmes outils archaïques. Où est parti cet argent ? », s’interrogent ces agents de la Sûreté. A noter que les services de renseignement se sont opposés fermement à la demande de la Smals d’emporter le disque dur contenant la base de données… « Ce qui aurait posé un problème majeur de sécurité. »
#données #fiscalité #profiling #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)
