Début mai, le gouvernement publiait un Arrêté Royal concernant la constitution d’une base de données destinée à supporter les opérations de “contact tracing” (manuel, en tout cas dans un premier temps) des personnes contaminées ou ayant été en contact avec des personnes touchées par le Covid-19.

La durée de validité de l’A.R. était initialement d’un mois. Dans l’attente d’un cadre légal plus pérenne.

Le texte de l’A.R. (nous avons déjà eu l’occasion de l’évoquer) a soulevé certaines critiques. A plusieurs reprises. Des membres de la société civile, des juristes, des associations mais aussi des parlementaires se sont saisis du sujet afin de proposer un texte et des conditions de mise en oeuvre qui soient (davantage) respectueuses de la vie privée.

Le mardi 26 mai, la Commission Santé et Egalité des chances du Parlement se réunissait pour discuter et analyser les différentes propositions se trouvant sur la table (proposition de loi et amendements). L’un des documents de base sur lequel divers parlementaires ont planché est celui qu’avait concocté le duo Ligue des Droits de l’Homme/Amnesty International. Un texte qui avait été envoyé à différentes partis tels que le cdH, le PS ou encore Ecolo/Groen.

La proposition LDH/AI

La Ligue des Droits de l’Homme (LDH) et Amnesty International se sont donc alliés pour formuler une proposition de loi dont la teneur s’articule autour des cinq “balises” qui avaient déjà été énoncées dans la lettre ouverte “Tracer le Covid, pas les citoyen·ne·s” publiée à la mi-mai. A savoir:
– organiser la transparence pour gagner la confiance des citoyens
– envisager la protection des données comme une aide et non comme un obstacle
– ne collecter que les données nécessaires, pour une durée limitée
– ne pas collecter le numéro d’identification au Registre national (NISS)
– organiser une responsabilité politique forte.

Nous nous arrêterons ici plus particulièrement sur les balises n° 3 et 4, qui portent plus spécifiquement sur la collecte, le traitement et la conservation des données.

Projet de loi recalé par l’APD

A maints égards, la proposition LDH/AI rejoint l’analyse qu’avait faite l’Autorité de Protection des Données (APD).

Déjà saisie pour avis, dès le courant avril, pour s’exprimer à propos de l’avant-projet d’Arrêté Royal, celle-ci n’avait pas été tendre avec le texte. Elle estimait notamment que “les finalités, telles que décrites dans l’avant-projet, ne sont pas suffisamment déterminées et explicites”.

L’APD demandait alors à ce que le concept de “personnes intéressées” soit clarifié et précisé dans le texte. Sous-entendu, mais non précisé: les personnes contaminées et les personnes avec lesquelles ces dernières ont été en contact.

Le texte original de l’A.R. parlait, en guise de première finalité, de “rechercher et contacter les intéressés par un centre de contact”. Formulation trop vague, estime l’APD, en termes de but poursuivi et de type d’utilisation qui sera faite des données collectées: “Il doit notamment être clairement spécifié s’il s’agit de leur fournir des lignes directrices en matière d’hygiène et de prévention et/ou de leur imposer ou de leur suggérer une quarantaine, de les inviter à se faire dépister du Covid-19 ou de leur imposer un tel dépistage.”

Flou également pour le balisage de la deuxième finalité (“réaliser des études scientifiques, statistiques et/ou d’appui à la politique”). Par qui, s’interroge l’APD: “Sciensano ou d’autres acteurs/institutions?” Quid de l’“appui à la politique future”: “les études sont-elles relatives au Covid-19, à sa propagation et aux mesures qui devraient être prises pour lutter contre sa propagation ou les études peuvent-elles porter sur d’autres thèmes/maladies?”

L’APD se prononçait par ailleurs négativement sur d’autres éléments du texte, notamment dans le registre d’une “infraction au RGPD” (Règlement général sur la protection des données), en raison d’une centralisation des données considérée comme non justifiée et contrevenant aux dispositions du RGPD, ou encore de dispositions du texte qui portent atteinte au secret médical auquel sont tenus les médecins (en cause, la communication obligatoire de certaines données personnelles du patient).

Finalité(s), données nécessaires et durée

Le duo LDH/AI estime que le type de données collectées à des fins de traçage Covid doit être strictement limité en fonction d’une finalité qui, elle aussi, doit être clairement définie et délimitée.

Les auteurs de la proposition estiment en fait que le texte de l’A.R. pèche par un trop grand laxisme par rapport aux finalités. A l’origine, le texte de l’A.R. en prévoyait en effet trois. A savoir:
– recherche et contact des personnes à risque par le centre de contact
– réalisation d’études scientifiques, statistiques et/ou d’appui à la politique (après pseudonymisation)
– communication des données aux services d’inspection de la santé des Régions (dans le cadre d’initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses).

➢➢ Préciser les finalités

“La loi devrait se limiter à une seule finalité, clairement définie et éliminée”, indique Franck Dumortier, l’un des rédacteur du texte LDH/AI, par ailleurs spécialiste en protection des données, chercheur au CRIDS (UNamur). Cette finalité unique pourrait être formulée comme suit: “soutien aux autorités compétentes dans leurs efforts en vue de rompre la chaîne de contamination au coronavirus Covid-19 au moyen d’une prise de contact avec des catégories de personnes”. Catégories à faire préciser par le texte de loi.

Préciser ou limiter la finalité permettrait d’ailleurs de mieux préciser la nature et la nécessité des données collectées. A force de multiplier les finalités, on se donne en effet des excuses pour collecter davantage de données et on s’expose dès lors à des conflits avec les règles de protection des données personnelles et de la vie privée.

C’est l’un des reproches que faisait l’APD: “Le choix de ne créer qu’une seule base de données pour poursuivre trois objectifs complètement distincts renforce les questionnements autour de la nécessité et de la proportionnalité de la collecte de certaines données au regard des objectifs poursuivis par la constitution et l’utilisation de la base de données.”

L’avis de Jean-Marc Van Gyseghem, juriste, partenaire-associé auprès du cabinet juridique Rawlings Giles est très similaire: “Je partage l’avis de l’APD sur le fait qu’elles sont trop nombreuses. La proposition de loi en détermine trois, à savoir la confirmation d’une contamination, la prévention consistant à prévenir des personnes ayant été en contact avec une personne contaminée, et la recherche.

La troisième me semble trop large. S’il est vrai que le RGPD permet, dans le cadre des traitements à des fins de recherche, d’avoir des finalités moins précises, il faut malgré tout permettre aux personnes concernées d’avoir connaissance du sort réservé aux données. C’est important car cela impacte les données qui vont être traitées.

Et c’est sur ce point également que l’APD se pose, à juste titre, des questions. Par ailleurs, je suis d’accord avec l’APD qui considère que cette troisième finalité n’est pas réellement logique avec les deux premières et qu’elle est de nature à induire de la confusion dans l’esprit des personnes concernées.

Je suis également d’avis que l’application ne doit pas avoir comme finalité de confirmation d’une contamination qui, elle, se fait déjà de manière manuelle. Cette finalité est donc déjà reprise par une autre technique de traçage moins invasive. Par contre, et ainsi que le soulève l’APD, la connaissance de contamination doit préexister à la mise en route de la deuxième finalité qui est, en réalité, la seule devant être poursuivie par le responsable du traitement. D’où la nécessité de voir la base de données traçage manuel nourrir le système de gestion de l’application en respectant, bien entendu, les règles de minimisation des données incluant celles de pseudonymisation et anonymisation.”

Franck Dumortier estime par ailleurs que la manière large dont les finalités sont définies “introduit de grandes compétences pour le CSI (Comité de Sécurité de l’Information – voir encadré ci-contre). Le texte n’est pas assez précis sur ce que ce Comité peut ou non communiquer et à qui.” [Ndlr: le texte de l’A.R. le formule ainsi: “Le Comité de Sécurité de l’Information se voit accorder la compétence de rendre des délibérations pour les échanges de données concrets” […] La chambre Sécurité sociale et santé du Comité de Sécurité de l’Information détermine quels types de données à caractère personnel elle communique à Sciensano pour traitement dans la banque de données […] et quels types de donnés à caractère personnel elle peut recevoir de Sciensano en provenance de la banque de données pour la réalisation des finalités visées”]

“Le CSI est, par ce texte, autorisé à décider de quelles informations vont vers qui. Par exemple vers l’AVIQ. Le problème est que cette dernière a pouvoir, potentiellement, d’imposer des sanctions [Ndrl: par exemple si une personne contaminée ou à risque ne suivait pas certaines indications]. Or, la finalité du mécanisme de contact tracing devrait être de procéder à un appel téléphonique, voire à une visite à domicile, de personnes considérées comme étant à risque d’avoir été contaminées. Et l’appel ou la visite n’a pour but qu’une simple recommandation [de dépistage ou de confinement] sans dimension contraignante… La loi ne peut être utilisée à des fins contraignantes ou répressives.

Le texte de l’A.R. manque de précision et ne devrait pas laisser autant de possibilités au CSI. Les compétences qui lui sont conférées vont trop loin et empiètent sur le concept de responsable du traitement [de données].”

➢➢ Être plus frugal en termes de données collectées et conservées

Qu’est-ce qui est considéré comme “données strictement nécessaires”? Selon les auteurs de la proposition de loi, les seules données dont a besoin l’autorité publique (en l’occurrence Sciensano) pour assurer le “contact tracing” sont le nom, le prénom, la date de naissance, le numéro de téléphone ou l’adresse de la personne infectée, présumée infectée ou à risque de l’être suite à un contact avec une personne contaminée, la date du test médical ayant déclaré la personne positive, ou encore l’adresse de la collectivité, si la personne contaminée ou à risque évolue dans le cadre d’une population “fragile”.

“Cela suffit pour la finalité visée qui est de prendre contact avec les personnes considérées comme à risque, à seule fin de leur recommander de se faire dépister”, déclare Franck Dumortier. “Il n’est pas exemple nullement besoin d’enregistrer le temps de contact ou la distance entre deux personnes.

D’autres données personnelles peuvent certes être collectées à des fins de recherche épidémiologique ultérieure, “pour l’ensemble de la communauté scientifique”, mais doivent dans ce cas être anonymisées ou pseudonymisées.

Voici la manière dont le texte de la proposition alternative LDH/AI propose de formuler la chose: “Après anonymisation ou, si cela est justifié, après pseudonymisation, par le ministre, les données à caractère personnel contenues dans la base de données peuvent être utilisées ultérieurement à des fins archivistiques dans l’intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques en matière de lutte contre la propagation du coronavirus Covid-19 et/ou d’appui à la politique en cette matière”.

L’APD s’était montrée très critique également en matière de types et de catégories de données collectées et centralisées dans la base Sciensano, estimant que trop de données étaient collectées. Il est vrai que la liste est longue. Voyez plutôt…

Tout d’abord, pour les “personnes pour lesquelles le médecin présume une infection ou pour lesquelles un test médical a été prescrit ou qui ont subi un test dans le cadre de la lutte contre la propagation du coronavirus Covid-19”,

Le texte original d’avant-projet prévoyait de collecter et stocker sept types de données:
– le numéro d’identification visé à l’article 8, § 1er, 1° ou 2°, de la loi du 15 janvier 1990 relative à l’institution et à l’organisation d’une Banque-carrefour de la sécurité sociale
– le sexe
– le code postal du domicile
– le type, la date et le résultat du test ou le diagnostic présumé en l’absence de test
– le numéro INAMI du prescripteur du test
– les informations de contact de l’intéressé et de la personne à contacter en cas d’urgence
– le statut professionnel.

L’APD s’interroge notamment sur l’utilité de consigner le statut professionnel: “en quoi est-ce une donnée “adéquate, pertinente et nécessaire au regard des finalités?”

Avis de l’APD: “Il faut, non seulement, revoir ou préciser les finalités poursuivies, les sources des données collectées, les catégories de données collectées, les catégories de destinataires, mais il est également nécessaire de mieux structurer l’avant-projet et de clarifier, pour chaque finalité, les catégories de données reprises dans la base de données, la ou les sources de ces données, l’identité du ou des responsables du traitement, les durées de conservation des données ainsi que, le cas échéant, les catégories de destinataires à qui ces données pourront être communiquées et les circonstances dans lesquelles et les raisons pour lesquelles elles seront communiquées.”

Pour les “patients hospitalisés avec un diagnostic confirmé du coronavirus”, la liste s’allonge. Sont reprises en plus des sept déjà citées:
– le numéro du dossier hospitalier, les données relatives à l’exposition du patient
– les données cliniques pour l’hospitalisation (symptômes, date et raison de l’admission, conditions sous-jacentes, indication de la vaccination contre la grippe…)
– les données de laboratoire pour Covid-19
– les critères concernant la gravité (notamment le transfert ou non vers les soins intensifs)
– l’évolution biologique (basée sur les résultats d’analyses de laboratoire de routine)
– les traitements spécifiques administrés au patient pour Covid-19
– l’état de santé à la sortie.

Une fois encore l’APD s’interroge sur la ou les finalité(s) prévue(s), qui justifierai(en)t réellement la collecte et le stockage de ce type de données – médicales. Des études et recherches futures (finalité n° 2)? Peut-être mais en effet, pourquoi conserver dans cette base de données exceptionnelle ce type de données qui, pour les personnes hospitalisées (ou simplement soignées pour contamination), sont forcément aussi enregistrées dans d’autres bases, à finalité clairement et légalement médicales (bases de données des hôpitaux, voire données de prescriptions et de suivi administratif de soins par l’Inami…).

Comme le suggère l’APD, il suffirait, au niveau de la base de données Covid de Sciensano, de collecter ces données mais en prévoyant anonymisation ou pseudonymisation. Ou, pourquoi pas?,  prévoir un champ indiquant que les données médicales nécessaires peuvent se trouver ailleurs?

L’APD voudrait également que le texte soit plus précis sur certaines notions telles que “données relatives à l’exposition du patient”, “critères en ce qui concernent la gravité”, “évolution biologique”…

➢➢ “Inutilité du numéro d’identification au Registre national”

“Ce numéro n’est pas nécessaire et il serait même dangereux de le collecter car il permet des rassemblements potentiels de bases de données au sujet d’un individu (en matière fiscale ou de sécurité sociale notamment)”, indiquent les auteurs du texte LDH/AI.

“Un numéro unique, généré de manière aléatoire par la base de données, suffirait”, précise Franck Dumortier.

➢➢ La durée de conservation

Autre précision que les auteurs de la proposition de loi alternative voudraient voir apporter au texte initial de l’A.R.: la durée maximale de conservation des données. A savoir un mois. “C’est suffisant pour la finalité visée qui est de pouvoir avertir les personnes à risques”.

Le reproche fait par rapport à l’A.R.? Un manque de clarté présumée. “Les données à caractère personnel reçues seront effacées par le responsable du traitement cinq jours après la cessation des effets de l’arrêté.” Si la même formulation devait se retrouver dans la loi (en remplaçant “arrêté” par “loi”, cela risquerait de prolonger indûment le délai admis de conservation des données. Raison pour laquelle les auteurs de la proposition alternative désirent que le texte limite clairement la durée à un mois, toute autre circonstance étant proscrite.

A cet égard, le texte LDH/AI prévoit une abrogation de la loi “au plus tard un an après son entrée en vigueur”, après évaluation ministérielle (au fédéral et au niveau des entités fédérés) et avec présentation au Parlement d’un rapport d’évaluation “au plus tard un an après l’entrée en vigueur de la loi. […] Si le rapport d’évaluation ne conclut pas à la nécessité d’abroger la présente loi, le rapport doit en démontrer précisément les raisons. Un nouveau rapport d’évaluation est alors rédigé et présenté tous les 6 mois à partir de la date de la présentation du premier rapport d’évaluation devant la Chambre des représentants.”

En ce qui concerne l’abrogation de la loi, l’amendement introduit par le PS (voir encadré ci-dessous) estime qu’elle devrait intervenir “dès que l’objectif visé pourra être rempli autrement que par la constitution d’une base de données”. Ce qui laisse, semble-t-il, la porte ouverte à bien des interprétations. A cet égard, la proposition LDH/AI est sensiblement plus précise.

➢➢ Croisement / Recoupement de données

En matière de (risque de) croisement de données, l’APD s’était inquiétée de ce risque notamment en raison des passerelles que le texte de l’A.R. n’interdit en rien vers le Registre National ou la Banque Carrefour de la Sécurité Sociale. 

Pourquoi une et une seule base de données centralisée?, s’interroge l’APD qui se dit davantage favorable à différentes bases. D’une part, une base répertoriant les personnes infectées, ou présumées infectées, et celles auxquelles un test a déjà été conseillé. 

De l’autre, une base comportant les coordonnées de contact (et uniquement les données strictement nécessaires) des personnes “croisées” par les personnes contaminées et que les centres d’appel sont chargés de contacter et d’alerter.

Cette deuxième base de données serait tenue et gérée uniquement par le centre de contact. A charge pour lui de “communiquer des données anonymisées (ou à tout le moins pseudonymisées) à Sciensano si cela s’avère nécessaire à des fins de recherche.”

Jean-Marc Van Gyseghem avance une idée pour éviter tout croisement ou tentation de croiser indûment diverses bases de données: “L’APD soulève également la question de l’absence de sanction pour toute personne qui imposerait l’utilisation d’une application de traçage pour autoriser l’accès à un bien ou à un service. Je suis d’accord avec le regret de l’APD. En effet, cela aurait un effet dissuasif pour tout éventuel contrevenant mais également rassurant pour les personnes concernées, c’est-à-dire les citoyens.”

Autre limitation que voudrait instaurer l’amendement du PS: l’interdiction de la mention (dans la base de données) du lien entre les différentes catégories de personnes concernées (patients infectés, patients présumés infectés, personnes avec lesquelles ils sont entrés en contact). Deux raisons à cela: primo, éviter tout croisement ou recoupement qui empiéterait sur la protection de la vie privée ; deuzio, veiller à ce “qu’il ne puisse pas être fait de déduction quant aux mouvements ou aux fréquentations des personnes concernées.”