#smals

En 2022, chaque Belge saura ce que l’Etat sait sur lui
▻https://plus.lesoir.be/362464/article/2021-03-23/en-2022-chaque-belge-saura-ce-que-letat-sait-sur-lui

A la Chambre, Mathieu Michel annoncera une « opération transparence » sur les données privées. Objectif : rétablir la confiance, ébranlée par de nombreux dossiers.

La démocratie va-t-elle reprendre la main sur la manière dont l’Etat gère les données à caractère personnel des Belges, un dossier dont seuls les technocrates semblaient détenir les clés ? L’ordre du jour de la Commission Justice de ce mercredi ouvre en tout cas une belle fenêtre d’opportunités. Au menu, plusieurs dossiers révélés par Le Soir et qui, visiblement, auront permis de faire bouger les lignes, en attendant de remettre l’église du milieu du village. On y parlera donc d’Oasis (cet outil permettant de profiler les citoyens et les entreprises potentiellement coupables de fraude sociale, Le Soir du 23 mars), des données médicales stockées en Russie via l’entreprise américaine 3M (Le Soir du 22 mars). Et de « Putting data at the center », ce projet flou porté par le SPF Bosa/Appui et Stratégie (et non par la Smals, comme nous l’avions erronément écrit le 10 mars).

Le 11 mars, à la Chambre, le secrétaire d’Etat à la digitalisation et à la protection de la vie privée, Mathieu Michel, annonçait la suspension immédiate du projet « PDC », rebaptisé entre-temps « Smart Data Services ». Comme il s’était engagé à le faire, il revient ce mercredi, en Commission Justice pour en éclaircir les contours. Entre ses mains, un rapport de 18 pages rédigé par Ben Smeets, directeur général du SPF Stratégie et Appui (également présent à la Commission). Le Soir a pu consulter ce document.

Une idée de consultant

Que dit-il ? Pour résumer, trois choses. Un : Bosa « ne croise pas de données » mais « se charge uniquement du transport sécurisé de données dans le cadre d’une demande justifiée d’un service public (…). Deux : « Nous sommes convaincus que nous avons abordé ce projet dans le respect du cadre légal et des procédures applicables, et que nous avons correctement identifié et traité les risques associés au projet. » Trois : l’objectif vise à créer « une vue centralisée de toutes les données détenues par les pouvoirs publics, de sorte que les utilisateurs n’aient plus besoin de savoir vers quelle source se tourner pour leurs besoins spécifiques en matière de données (…). »

Mais encore… « Personne ne conteste l’idée de départ », relève un des juristes que nous avons consultés. « Mais le problème, c’est qu’avec les mêmes phrases, vous pouvez tout aussi bien réaliser de belles choses que des horreurs ». Les problèmes de fond demeurent. « On ne sait pas de quelles données précises on parle ni la finalité de traitement ». « Le rapport évoque un potentiel commercial, mais avec qui, comment ? Il parle d’opportunités en termes d’intelligence artificielle, mais dans quel but ? ». Le sentiment que l’administration aurait mis la charrue avant les bœufs est unanimement partagé : « Comme si elle avait voulu démontrer que quelque chose était techniquement possible sans avoir vidé les aspects juridiques et éthiques, ni même avoir concrètement identifié un usage et des utilisateurs ». En l’occurrence, comme le révèle le rapport : l’idée de « Putting data at the center » est née, en 2017, dans la tête d’un consultant externe en mission à Bosa.

Opération « transparence »

Et si la commission Justice de ce mercredi marquait un tournant ? C’est en tout cas le pari de Mathieu Michel. « Il faut rendre la donnée au citoyen » nous dit-il. « La première étape, c’est de rétablir la confiance en restaurant une transparence absolue. » En clair, mettre fin au « circulez y a rien à voir ». Comment ? En permettant aux Belges d’avoir une idée précise des données à caractère personnel dont l’Etat dispose et l’usage qui en est fait. Un travail de titan. « Mais qui est déjà sur les rails », expliquera le secrétaire d’Etat ce mercredi au parlement. La mise à disposition de l’outil est promise pour « début 2022 », avec, en guise d’inspiration, l’Estonie, pionnière en matière d’interactions numériques entre citoyens et administrations (« e-Estonia »).

Première étape : dresser l’inventaire de l’ensemble des données à caractère personnel des citoyens et de leur utilisation par les institutions fédérales. Ce cadastre centralisé n’existe pas aujourd’hui, ou n’est en tout cas pas visible. Deuxième étape : permettre au citoyen d’y accéder, en permanence, via un portail Web et une application smartphone. « On peut imaginer, par après, d’aller encore plus loin en permettant au citoyen d’identifier quelle administration a cherché à accéder à ses données, quand et pour quelles raisons. Voire, vous opposer à la consultation et porter plainte ». Tout ceci n’élude pas la question de fond, insiste néanmoins Mathieu Michel, à savoir : le débat, au parlement, sur la réutilisation des données par les autorités publiques.

Court-circuitage démocratique

« La transparence, seule, ne résoudra pas tout le problème », compte d’ailleurs rappeler avec insistance François De Smet (Défi) lors de ses interpellations en Commission. « Le vrai souci c’est le court-circuitage démocratique. Avant de réutiliser des données il faut un débat parlementaire, une loi et un contrôle de l’Autorité de protection des données. »

A ce titre, deux zones d’ombre entachent toujours la gestion des données personnelles par l’Etat : les conflits d’intérêts qui minent l’indépendance de l’APD et le Comité de sécurité de l’information (CSI), cet ovni institutionnel qui s’est substitué au parlement pour les autorisations de traitement. Pour rappel, ces deux points noirs ont valu à la Belgique d’être le premier pays européen à faire l’objet d’une mise en garde de la commission pour non-respect du RGPD.

#Smals #consentement #données #fraude #santé #APD-Belgique

##santé

https://plus.lesoir.be/sites/default/files/dpistyles_v2/ena_16_9_extra_big/2021/03/23/node_362464/27982934/public/2021/03/23/B9726517094Z.1_20210323184512_000+G41HR0G33.1-0.jpg

Paleis der Natie | Een kleine oorlog in de covidmarge
▻https://www.tijd.be/opinie/paleis/paleis-der-natie-een-kleine-oorlog-in-de-covidmarge/10290834.html

Bij de Gegevensbeschermingsautoriteit (GBA) woedt een opmerkelijk conflict dat de Franstalige media bezighoudt. De inzet lijkt de machtspositie van Frank Robben, de gedelegeerd bestuurder van Smals, de ICT-arm van de overheid. Het parlement kijkt toe. Een sleutelscène in het docudrama ‘Brexit : An Uncivil War’ is een ontmoeting in Hyde Park in Londen. Dominic Cummings, de excentrieke campagneleider van het Leave-kamp, treft Zack Massingham. Hij is medeoprichter van het Canadese bedrijf (...)

#Smals #données #élections #COVID-19 #santé #surveillance

##santé
►https://images.tijd.be/view

Vie privée : Mathieu Michel annonce l’arrêt du projet de croisement des données des Belges
▻https://plus.lesoir.be/360296/article/2021-03-11/vie-privee-mathieu-michel-annonce-larret-du-projet-de-croisement-des-don

Questionné à la Chambre, le secrétaire d’Etat à la Protection de la vie privée déclare qu’il a mis fin au projet « Putting data at the center », visant à croiser et regrouper les différentes données personnelles des citoyens et entreprises. C’est à une batterie de cinq questions, toutes posées par des députés francophones, que le secrétaire d’Etat à la digitalisation et à la Protection de la vie privée a dû répondre, jeudi au Parlement, après nos révélations sur l’étonnant projet « Putting data at the center », (...)

#Smals #données #fiscalité #justice #profiling #santé

##fiscalité ##santé

https://plus.lesoir.be/sites/default/files/dpistyles_v2/ena_16_9_extra_big/2021/03/11/node_360296/27965659/public/2021/03/11/B9726397546Z.1_20210311191312_000+G8IHOL694.2-0.jpg

Vie privée : un projet sans contrôle de l’Etat pour « profiler » les Belges
▻https://plus.lesoir.be/359783/article/2021-03-10/vie-privee-un-projet-sans-controle-de-letat-pour-profiler-les-belges

En roue libre, sans aucun mandat ni contrôle politique, l’ASBL informatique de l’Etat, pilotée par Frank Robben, a finalisé un outil permettant d’avoir une « vision globale sur les citoyens et les entreprises ». Comment ? En croisant toutes les données (santé, sociales, fiscales, justice…). Son nom : « Putting Data at the Center ». « Une horreur », affirment nos sources.

Au départ, c’est une idée toute bête. De celles que l’on jette à la volée à la machine à café. Sans réellement en mesurer l’énormité. Persuadés, tel Mark Twain, que parce que c’est impossible, ils pourront le faire. A la Smals, l’ASBL qui assure la quasi-totalité des prestations informatiques de l’Etat, en tout cas, on y croit. Ils ont les ressources, les compétences, des bases de données (celles de la sécurité sociale et de la santé). Et si elle ne les gère pas directement, pas grave : on en discute au sein du GCloud, l’organe de pouvoir de la Smals où se retrouvent tous les directeurs informatiques des services publics fédéraux (SPF Finances, Economie…). A sa tête, l’incontournable et omnipotent Frank Robben, patron de la Smals qui occupe tous les étages de l’écosystème de traitement de données de l’Etat, de l’écriture des lois à leur mise en œuvre, en passant par le contrôle.

Pour amorcer leur idée, il manque néanmoins un élément majeur : un mandat. Soit une loi, votée par le parlement, passage obligatoire. Pas grave. Le projet, baptisé « Putting data at the center » (PDC), va bel et bien démarrer en 2018. En mode sous-marin. Sans aucun contrôle politique, au nez et à la barbe de l’Autorité de protection des données, du gouvernement. « Un fantasme de techniciens en roue libre », « au mépris de toutes les procédures régissant le respect de la vie privée ». En réalité, comme nous l’ont confirmé plusieurs sources : un « monstre », façonné dans une usine à gaz dont la complexité est devenue l’ultime gage de survie.

Tabou suprême

« Putting data at the center », c’est le tabou suprême dans un Etat démocratique, celui d’un immense carrefour où se croisent toutes les bases de données ultra-sensibles, traditionnellement décentralisées et inviolables. Sur les documents qu’un vent favorable a déposés au Soir, on y perçoit aussi les logos de partenaires privés (la KBC, Fostplus…), présentés comme des « clients potentiels », lesquels auraient affiché une marque d’intérêt, mais comme le montre la feuille de route, sans aller au-delà du stade de l’analyse du projet. « Mais l’idée », confirme une de nos sources, « consiste bel et bien à ouvrir les données du public et de les mélanger au privé. Ça, c’est du délire total. A côté de ça, Facebook, c’est mieux. »

Selon la méthode de conception de projets informatiques dite « Agile », PDC en serait au « sprint 21.3 ». Pour faire court, cela signifie la 21e livraison du produit, sur lequel planchent 6 consultants de la Smals. Soit, selon une source, un budget engagé de l’ordre de 1 à 2 millions d’euros. Plusieurs pilotes sont d’ores et déjà ficelés. L’outil est bel et bien là : une porte d’accès unique, un « grand carrefour » où se croisent ce que l’on appelle les « sources authentiques », soit les bases de données certifiées par l’Etat sur l’ensemble des événements de la vie des Belges. On y voit donc le registre national (nom, adresse, date de naissance, composition de la famille…) côtoyer des données que légalement on ne peut en aucun cas mixer (santé, sécurité sociale, fiscales, justice, économiques…). Le tout, ouvert à des partenaires privés. Avec une dose « d’open data », soit des jeux de données anonymisées « à réinjecter au sein de l’écosystème digital de la société » (entreprises, académiques…).Retour ligne automatique
Croisements de données infinis

A la lecture des documents en notre possession, rien n’indique la moindre finalité malveillante. Mais, relève immédiatement ce haut fonctionnaire touché à son corps défendant par ce projet, il y a là, très clairement, de quoi permettre de « profiler » chaque Belge, en fonction de son « pedigree » social, fiscal, juridique, économique, sanitaire… ? « Sur cette base, tous les croisements imaginables deviennent techniquement possibles. Imaginez par exemple le fait de mélanger les données des Finances et de la Justice… Un scandale ».

L’idée du respect de la vie privée traverse bel et bien le projet. Mais elle ne le charpente pas, selon le principe cardinal de « privacy by design » (qui vise à intégrer la vie privée dès la conception). « Comme toujours, cela part d’une bonne intention, mais ce n’est pas à la Smals de le décider », poursuit cet observateur. « L’idée de croiser certaines données pour simplifier la vie des gens, pourquoi pas. Sauf qu’ici on balaie tous les principes ».

A commencer par celui qui indique que seul le citoyen peut accéder à ses propres données, dont il est propriétaire. Si des « sources authentiques » (soit les bases de données certifiées, comme le registre national, le dossier médical, la sécu…) souhaitent se « parler », elles ne peuvent le faire qu’à deux conditions sacrées, par ailleurs bétonnées par le Règlement général sur la protection des données (RGPD) : la finalité légale (y être autorisé par une loi dans un but précis). Et la proportionnalité (ne consulter que les données que l’on a le droit de voir). Or, le but du projet est clair : offrir « une vision globale sur les citoyens et les entreprises ». Ce qui, relève immédiatement Elise Degrave, professeur de droit à l’UNamur et experte en e-gouvernement, « n’est pas une finalité valable ». « Avoir une vue pour quoi ? Pour contrôler les profils incohérents ? Pour faire des statistiques ? Non, il faut une fin en soi. »

Et pour cela, il faut une loi, un texte législatif qui, en amont, encadre le projet. Or, ici, la Smals n’est mandatée ni par le parlement, ni par un ministre, ni par le moindre document administratif probant. « Et comme ce projet n’a pas d’encadrement légal, il devient quasi impossible de l’attaquer, le condamner ou d’introduire un recours », poursuit la chercheuse. « Si on ne sait pas, notamment grâce à la presse ou des taupes dans l’administration, que l’outil a été créé, on ne sait pas qu’il existe. Or, il n’y a pas de demande à la base. Bref, ce projet est à ce point hors-la-loi qu’il n’y a même pas de loi. Et comme il n’y a pas de cadre légal, il est même impossible de le contrôler. C’est inadmissible. »Retour ligne automatique
« Le politique a perdu pied »

« Le système de décentralisation des bases de données, imaginé par Frank Robben, a toujours bien fonctionné », concède notre source à l’administration. « Mais depuis 3 ou 4 ans, on observe une réelle tentation chez les responsables informatiques de l’administration d’échanger ces données entre eux. C’est là que le flou est apparu. Le politique a absolument perdu pied dans les discussions, purement techniques. Donc, ce sont les techniciens qui ont pris le pouvoir. “Putting data at the center”, c’est une idée de techniciens. Il n’y a pas un seul client. Pas un seul SPF qui dit “j’ai envie de ça”. Cela a été imaginé sans sponsoring, sans business case. Mais on l’a quand même développé… En se disant, on trouvera bien un intérêt. »

Les auteurs des documents sur l’état d’avancement du projet relèvent d’ailleurs eux-mêmes les « risques » liés au dossier. Comme le fait que, « pour des raisons de sécurité, le Registre national n’offrira pas (facilement) le contenu de ses sources authentiques ». On y lit aussi quelques pépins majeurs qui, aux yeux des juristes consultés, relèvent du dérapage incontrôlé. Le fait, par exemple, que, à tout le moins dans l’environnement de test, la plupart des données « ne sont pas toujours anonymisées ». « Et peuvent être vues par des personnes non autorisées ». La réponse validée par le comité de pilotage : « Accepter le risque pour les testeurs »… Dont acte.

Ce n’est pas tout. Sur le fait que « Putting data at the center » ne respecte ni la loi ni le RGPD, la réponse au risque est renversante : « La solution nécessite un amendement de la loi ». En clair, traduisent en chœur nos différentes sources : « A charge pour Frank Robben de changer les règles en faisant valider le dossier par le Comité de sécurité de l’information ». Le CSI, c’est cet ovni institutionnel, échappant aux radars du parlement, du Conseil d’Etat, de l’Autorité de protection des données ou des tribunaux, et dont Frank Robben rédige lui-même les « délibérations ». Traduisez : les autorisations de traitement de données par les autorités publiques, comme il l’a fait dans le cadre de la crise covid pour le testing, le tracing et la vaccination, en contradiction flagrante avec le RGPD.

Visiblement refroidis par l’accueil un peu frileux de leur projet (notamment par certains SPF), leurs auteurs conseillent aussi d’en changer le nom. « Putting data at the center » (« Centralisez les données ») n’était peut-être finalement pas la meilleure des idées…

A noter que la Smals n’a pas donné suite à notre demande d’interview de Frak Robben. Et que son porte-parole nous dit ne « pas être au courant » du projet « Putting data at the center ».

« Ils chipotent dans les bases de données de la Sûreté de l’Etat »

Philippe Laloux

Pour travailler avec la Smals, en gros la plus grosse boîte informatique du pays (près de 2.000 collaborateurs, 350 millions de chiffre d’affaires), il ne faut pas être « client » mais bien « membre ». La nuance est de taille. Son statut d’ASBL publique lui permet en effet de profiter de quelques précieuses exceptions à la loi sur les marchés publics (en clair, de s’en passer). Ou encore de se soustraire à la TVA de 21 %. « Ce qui, en soi, constitue une bonne utilisation des deniers publics », tempère un observateur.

Elle n’est pas la seule. En Wallonie, une intercommunale, Imio, propose ses services « open source » à des tas de communes qui n’ont pas les moyens de s’offrir un marché avec des géants de la tech. A Bruxelles, c’est le Cirb qui offre son support IT aux autorités et organismes publics. Mais, à la différence de la Smals, eux dépendent directement de l’administration. Ce qui offre une transparence totale sur leurs activités. L’ASBL dirigée par Frank Robben ne dépend de personne. Pour avoir des informations sur un contrat en particulier, c’est galère. Invariablement, sous couvert… de la protection des données, on vous renvoie vers le membre en question.

La Smals, aujourd’hui, en compte près de 300. Parmi eux : l’Autorité de protection des données, où Frank Robben siège par ailleurs comme membre externe du Centre de connaissances. C’est donc sans appel d’offres que l’APD s’est tournée vers la Smals en 2020 pour refaire son site Web, qui présente l’institution et permet de télécharger un formulaire de plainte. Montant de la facture : 120.236 euros.

Il arrive aussi que la Smals ne soit pas la bienvenue. C’est le cas à la Sûreté de l’Etat où, apprend Le Soir, le fait de voir défiler 70 consultants dans les couloirs et « chipoter dans les bases de données » a provoqué un début de scandale au sein des services de renseignement. C’est à la faveur de l’arrivée du nouveau comité de direction que la Smals avait été mandatée, en 2017, pour renouveler l’informatique de la Sûreté. Un dossier particulier délicat. « Mais pendant 3 ou 4 mois, ils ont travaillé sans aucune habilitation de sécurité », alors que ce type de donnée est classé « très secret ».

L’idée de la Smals consiste à « tout centraliser », raconte notre source. Tout ? « Oui, permettre d’accéder à toutes les données, y compris fiscales, de justice, concernant une personne reprise dans la base de la Sûreté ». Soit un million de Belges. « Et puis le chantier a dérapé. » Budgété au départ à 7 millions, il en est, 4 ans plus tard, à près de 23 millions, « soit la totalité du supplément de budget accordé au lendemain des attentats. « C’est pire que la gare de Mons. Et à part un nouveau layout pour le site, on utilise les mêmes outils archaïques. Où est parti cet argent ? », s’interrogent ces agents de la Sûreté. A noter que les services de renseignement se sont opposés fermement à la demande de la Smals d’emporter le disque dur contenant la base de données… « Ce qui aurait posé un problème majeur de sécurité. »

#données #fiscalité #profiling #santé #[fr]Règlement_Général_sur_la_Protection_des_Données_(RGPD)[en]General_Data_Protection_Regulation_(GDPR)[nl]General_Data_Protection_Regulation_(GDPR) (...)

##fiscalité ##santé ##[fr]Règlement_Général_sur_la_Protection_des_Données__RGPD_[en]General_Data_Protection_Regulation__GDPR_[nl]General_Data_Protection_Regulation__GDPR_ ##Smals

https://plus.lesoir.be/sites/default/files/dpistyles_v2/ena_16_9_extra_big/2021/03/10/node_359783/27961931/public/2021/03/10/B9726370026Z.1_20210310070125_000+GQ1HOB08D.1-0.jpg