Le traçage via call-centers des citoyens infectés par le coronavirus a démarré cette semaine partout en Belgique. Politiquement, les Régions et le fédéral ont une compétence partagée dans le domaine de la protection des données applicables au traçage. Les Régions sont responsables en la matière pour les call-centers, et le fédéral fixe le cadre juridique pour la constitution de la base de données reprenant les contacts de chaque personne infectée identifiée. Et ce cadre, déjà critiqué avant son entrée en vigueur le 4 mai, est désormais sérieusement remis en cause par toute une frange de la société.
...

Le traçage via call-centers des citoyens infectés par le coronavirus a démarré cette semaine partout en Belgique. Politiquement, les Régions et le fédéral ont une compétence partagée dans le domaine de la protection des données applicables au traçage. Les Régions sont responsables en la matière pour les call-centers, et le fédéral fixe le cadre juridique pour la constitution de la base de données reprenant les contacts de chaque personne infectée identifiée. Et ce cadre, déjà critiqué avant son entrée en vigueur le 4 mai, est désormais sérieusement remis en cause par toute une frange de la société.Dans une lettre ouverte adressée ce vendredi matin au président et aux chefs de groupes du parlement fédéral, la Ligue des droits humains, Amnesty International, l'Association syndicale des magistrats, la Ligue des usagers des services de santé, l'Association des journalistes professionnels et plus de 300 personnalités des milieux académique, médical, judiciaire et culturel, tirent la sonnette d'alarme. Les signataires de ce courrier que Le Vif et Knack ont pu consulter interpellent le législateur pour lui faire part de leurs inquiétudes à propos "du traçage du parcours du covid au sein de la population pour circonscrire l'épidémie".L'arrêté royal de pouvoirs spéciaux n°18, publié dans l'urgence le 4 mai au Moniteur et valide un mois, jusqu'au 4 juin, "n'est pas conforme aux droits fondamentaux", estiment les signataires. Cet arrêté, rédigé semble-t-il dans la précipitation, concerne la création d'une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus. Une banque de données qui conserve des informations très personnelles de manière pseudonymisée - c'est-à-dire codées mais pas anonymisées - jusqu'à... 30 années après le décès des patients, selon le texte actuel. La crainte est que cet arrêté temporaire, par un jeu de copier-coller législatif, ne devienne définitif après le 4 juin.Cinq balisesSi les signataires reconnaissent la nécessité du traçage - par call-center ou via une application mobile - pour procéder au déconfinement progressif de la population, "de sérieuses balises doivent être fixées pour allier efficacité et protection des droits et libertés". Et ils énumèrent cinq de ces balises, qu'ils estiment cruciales dans un État de droit qui se respecte.Ils recommandent ainsi de "ne pas collecter le numéro d'identification au Registre national (RN ou NISS)" des personnes tracées, ce qui est le cas actuellement. Pourquoi ? Parce que ce numéro permet potentiellement de connecter la nouvelle banque de données gérée par Sciensano à toute une série d'autres bases de données personnelles, notamment en matière fiscale ou de sécurité sociale. "Ce numéro national est une sorte de code-barres unique qui identifie chaque citoyen dans les différentes banques de données de l'Etat, insiste Olivia Venet, présidente de la Ligue des droits humains à l'initiative de la lettre ouverte. Il n'est en aucun cas nécessaire de le collecter pour lutter efficacement contre la pandémie de Covid-19 au travers du traçage des personnes infectées. Un simple nombre aléatoire généré par la base de données, couplé au nom et au numéro de téléphone de la personne, suffit amplement pour identifier les individus encodés qui souhaiteraient, par exemple, avoir accès à leurs données personnelles."Cette exigence participe d'une autre balise, plus générale : "organiser la transparence pour gagner la confiance des citoyens". Cette confiance est "cruciale", estiment les signataires : "elle ne s'impose pas par l'autorité mais se gagne avec la transparence". Les citoyens tracés doivent pouvoir, en confiance, accepter de communiquer leurs données "et seul un cadre légal conforme à la protection de la vie privée peut créer cette confiance". Il est donc important d'"envisager la protection des données comme une aide et non un obstacle" - troisième balise.Conserver les données sensibles 1 mois, pas 30 ansCette confiance à gagner auprès des citoyens tracés implique en outre que les call-centers donnent des "recommandations non-contraignantes" aux sujets suivis, "alors que le texte actuel laisse la porte ouverte à des injonctions contraignantes que pourraient délivrer des médecins travaillant pour une autorité publique régionale", explique Franck Dumortier, un juriste de l'université de Namur signataire de la lettre ouverte. Autre balise jugée fondamentale : "Ne collecter que les données nécessaires, pour une durée limitée". Autrement dit, seules les données strictement nécessaires pour informer les personnes concernées devraient être récoltées. "Pas question dès lors de collecter, comme c'est le cas actuellement, la nature des liens - professionnels, amicaux, amoureux, de cohabitation, etc. - entretenus entre une personne infectée et ses contacts", poursuit Franck Dumortier. Qui demande, comme tous les signataires, que les données permettant l'identification des personnes soient supprimées de la banque de données après un mois maximum - et non pas 30 ans -, "un délai que les médecins jugent largement suffisant pour atteindre l'objectif du traçage : prévenir la diffusion de la pandémie", souligne-t-il. Les données, anonymisées ou à tout le moins pseudonymisées, peuvent être traitées ultérieurement à des fins de recherches, pour l'ensemble de la communauté scientifique, dans le respect des règles légales actuelles en vigueur. Enfin, last but not least, la cinquième balise stipule qu'il est nécessaire d'"organiser une responsabilité politique forte" sur cette banque de données. La ministre fédérale de la Santé publique, Maggie De Block, est la responsable ultime de cette banque de données. C'est elle qui devra rendre des comptes devant le parlement. Pas question de s'abriter derrière son administration ou Sciensano.Secret professionnel dans les call-centersAfin d'être sûrs d'être entendus par le législateur, et parce qu'on n'est jamais aussi bien servi que par soi-même, les signataires ont chargé un comité d'experts restreint de rédiger un nouveau projet de loi respectant ces cinq balises. "Nous espérons vraiment être entendus par le parlement car les enjeux sont énormes", commente Franck Dumortier qui a planché sur ce projet de loi alternatif visant à corriger les failles du texte temporaire actuel.Selon nos informations, c'est Frank Robben, le patron de la plateforme eHealth et de l'asbl Smals, qui a rédigé l'arrêté royal n°18 tant décrié. Dans une interview accordée jeudi au Journal du Médecin, Robben, qui coordonne le projet de contact-tracing, déclare que toutes les recommandations relatives à la vie privée sont respectées : "Le call-center est un environnement commun élaboré par les Communautés et Régions qui y placent leurs collaborateurs. A ce niveau, aucune donnée de santé n'y est stockée. Il y a simplement des informations sur les personnes à contacter et leur numéro de téléphone. Bien entendu, le script numéro 1 (il y a 5 scripts de coups de téléphone) permet de contacter une personne infectée pour prendre connaissance de ses contacts. Mais tout le personnel qui téléphone est tenu au secret professionnel."Recalé par l'Autorité de protection des donnéesPourtant, le 29 avril, l'Autorité de protection des données (ex-Commission vie privée) a recalé l'avant-projet de cet arrêté qui lui avait été soumis en urgence par le ministre Philippe De Backer. Dans un avis de 18 pages, l'organe de contrôle indépendant chargé de "veiller au respect des principes fondamentaux de la protection des données à caractère personnel", pointait les nombreuses failles et imprécisions du texte laissant des possibilités de violations importantes de la vie privée des personnes tracées. "Les ingérences dans la vie privée des citoyens" que cet arrêté royal permet "ne sont admissibles que si elles sont nécessaires et proportionnées à la réalisation de l'objectif d'intérêt général qu'est la lutte contre la propagation du virus", écrivait notamment l'APD dans un communiqué de presse. Le texte doit être "davantage précisé pour éviter toute dérive", poursuivait l'organe de contrôle indépendant. "L'arrêté relatif à la création d'une base de données par Sciensano doit notamment être plus clair concernant la provenance des données collectées, les tiers à qui ces données médicales pourront être transmises et les usages qu'ils pourront en faire."David Leloup