Quoi ? Un croisement de données à caractère personnel entre l’ONSS et VaccinNet+ ? Alexandra Jaspar n’en avait pas encore entendu parler. Elle allait se renseigner. Nous étions début septembre.

Verdict, quelques jours plus tard :

Alexandra Jaspar, l’une des directrices de l’Autorité de protection des données[535235] (APD), constate que ce nouveau croisement de données, y compris de santé, est problématique pour une série de raisons, détaillées ci-dessous. Elle s’exprime ici à titre personnel, puisque l’APD et le Centre de Connaissances, qu’elle dirige, n’ont pas été saisis du dossier.

Toutes les remarques de la co-directrice de l’APD mènent à la même conclusion : où est le débat parlementaire ? Pas forcément sur le premier croisement « ONSS x VaccinNet+ », mais en général, sur les croisements de données et surtout sur l’utilisation que certains veulent en faire. «  Lorsqu’on souhaite utiliser des données à caractère personnel et, qui plus est, des données vraiment sensibles relatives à la santé (qui est vacciné, etc), il doit y avoir un aval du parlement. Cet usage de données doit donc faire l’objet d’une loi, d’un décret ou d’une ordonnance. Une quelconque norme législative, plutôt qu’un accord de coopération. Pas d’une autorisation du Comité de Sécurité de l’Information, qui n’a aucune compétence en la matière.  »

Passons en revue les grandes questions qui, selon Alexandra Jaspar, devraient être tranchées par le parlement, au regard du premier croisement « ONSS x VaccinNet+ » (taux de vaccination des établissements de soins).

Problème n°1 : des analyses trop ciblées

«  Utiliser des données vaccinales pour déterminer un taux national de vaccination, c’est évidemment important, et c’est prévu par l’accord de coopération du 12 mars 2021. Mais ici, il est question d’utiliser la même disposition pour évaluer un taux de vaccination par région, par hôpital, par profession… Cela va donc bien plus loin dans la granularité. L’objectif n’est donc plus d’établir une statistique globale du taux de vaccination. Quelle en est-donc la finalité ? Le parlement cautionne-t-il cette finalité ?  »

Chez les spécialistes de la protection des données personnelles, on parle de « finalité de traitement » pour désigner les objectifs qui justifient l’utilisation des données à caractère personnel. La base légale qui permet de réaliser le croisement de données « ONSS x VaccinNet+ » est l’accord de coopération du 12 mars 2021. Cet accord de coopération prévoit plusieurs finalités au traitement des données vaccinales des Belges. Parmi celles-ci, « la détermination du taux de vaccination anonyme contre la COVID-19 de la population » (article 4, alinéa 6). C’est à cet alinéa qu’Alexandra Jaspar fait référence. Analyser le choix vaccinal de « la » population ou celui des employée·s de chaque hôpital ou de chaque entreprise est très différent, estime-t-elle. On utiliserait donc des données pour une autre finalité que celle qui a justifié leur récolte initiale.

C’est un point de vue partagé par la Vlaamse Toezichtcommissie (VTC). La VTC s’est penchée sur la mission qui a été demandée cet été au VIKZ, organisme flamand de santé publique : comment récolter les données vaccinales du personnel soignant, sur base volontaire, en collaboration avec les hôpitaux et les maisons de repos ou de soins ?

(Nous vous en parlions ici)

Le VIKZ a sorti une première proposition, mais pour la VTC, ce projet présente aussi des problèmes de finalité de traitement des données, et de proportionnalité. Anne Teughels, conseillère à la VTC : «  L’accord de coopération du 12 mars 2021 permet de calculer le taux de vaccination pour la population en général. Pour nous, ce texte est trop vague pour demander les données des personnes qui travaillent dans un hôpital en particulier. Ce n’est pas proportionnel.  »

Problème n°2 : la raison d’être du croisement

«  En matière de traitement de données à caractère personnel, il faut toujours poser la question de la légitimité. Ici, ce que j’observe, c’est qu’il est question de publier les taux de vaccination de chacun des hôpitaux. La finalité reste obscure : cette publication a-t-elle pour objectif d’inciter les patients à se faire soigner dans certains hôpitaux plutôt que dans d’autres ? Est-elle aussi d’inciter les dirigeants de ces hôpitaux à faire pression sur leur personnel pour améliorer le taux de vaccination, et donc l’attractivité de l’établissement ? Ces objectifs sont-ils légitimes ? La réponse peut être “oui” : on trouve cela important. Mais la réponse peut aussi être “non” : il est hors de question d’utiliser des données personnelles pour cela. C’est pour ça qu’il faut un débat parlementaire ! Si le parlement est d’accord qu’on publie, hôpital par hôpital, chaque taux de vaccination, très bien. Et dès lors, si les associations ou les citoyens sont en désaccord avec ce jugement, il leur sera possible d’introduire des recours contre les textes législatifs qui formalisent ce choix. A l’inverse, si le parlement n’est pas d’accord avec la publication des taux de vaccination par hôpital, alors la finalité avancée pour justifier le traitement de données n’est pas légitime, et personne n’a le droit d’aller pêcher des données à caractère personnel auprès de l’ONSS et de VaccinNet+ pour faire ce genre de croisement.  »

Alexandra Jaspar ajoute : «  On est en droit de se demander si l’objectif est réellement la “recherche scientifique et statistique”, dès lors que le but semble être de publier les taux par hôpital, vraisemblablement pour inciter à la vaccination et orienter le choix des patients. On sent bien qu’on danse sur un pied puis sur l’autre et qu’on noie le poisson pour que personne n’y voit clair.  »

Finalités, légitimité… Pour répondre à ces questions, l’ONSS, la plate-forme eHealth, le KCE et la Task Force vaccination nous renvoient vers la délibération n°21/148 du Comité de sécurité de l’information. Comme le prévoit l’accord de coopération du 12 mars 2021, le CSI est mandaté pour trancher sur le traitement des données vaccinales en Belgique : la demande du KCE est-elle légitime ? Les finalités du traitement de données sont-elles acceptables ? En d’autres mots : ce projet est-il conforme au RGPD ? A-t-il une raison d’être ?

Le CSI a estimé que c’était le cas. Finalités, proportionnalité, légitimité, sécurité des données… Tout est bon, selon le CSI. Il y a un motif d’intérêt public et de recherche scientifique et statistique. La réidentification des employé·es est impossible ; les données à caractère personnel sont protégées.

Pour ce premier croisement, tout serait donc en ordre. Mais dans l’absolu, faudrait-il un débat parlementaire ? «  Ça, ce n’est pas à moi de le juger, répond Sabine Stordeur, chargée de la stratégie de vaccination pour le gouvernement fédéral. J’imagine que si à un moment donné, un intérêt se manifeste pour bénéficier de ces mêmes indicateurs de couverture vaccinale pour d’autres secteurs, pour une raison ou pour une autre, le débat devra certainement être posé au niveau de nos élus politiques et au niveau des représentants des ministres qui ont ces activités sous leur houlette.  »

Problème n°3 : les acteurs en présence

Au regard des éléments cités ci-dessus, on l’aura compris, Alexandra Jaspar estime qu’un débat parlementaire est nécessaire. Elle ajoute : «  C’est au parlement de prendre ce genre de décisions, pas au Comité de Sécurité de l’Information. Le CSI contourne le parlement.  »

Ce dernier commentaire fait écho au contexte général de méfiance à l’égard du Comité de sécurité de l’information, qualifié «  d’OVNI institutionnel  » par Le Soir il y a quelques mois, et dont le statut légal est questionné. Les délibérations du CSI ne sont en tout cas pas comparables à des lois, des ordonnances ou des décrets - d’où le commentaire d’Alexandra Jaspar, qui estime que le CSI se substitue au parlement.

«  Le CSI ne peut pas autoriser des traitements de données à caractère personnel, poursuit la co-directrice de l’Autorité de protection des données. Le RGPD interdit spécifiquement les régimes d’autorisations préalables. L’APD l’avait rappelé dans son avis sur le projet d’accord de coopération du 12 mars 2021, mais il n’a pas été suivi et il rend l’accord de coopération attaquable sur ce point.  »

Notons que depuis plusieurs mois, la Belgique enquête petit à petit (travail journalistique, auditions parlementaires) sur les organismes d’État qui décident du sort de nos données de santé, ou de nos données à caractère personnel en général. Frank Robben est au centre des interrogations. Fonctionnaire, grand architecte de l’administration numérique belge, il dirige le CSI. Il est également l’administrateur général de la plate-forme eHealth et de la Banque Carrefour de Sécurité Sociale (BCSS). Frank Robben occupe en parallèle un poste au sein de l’Autorité de protection des données (APD). Il est l’un des conseillers du Centre de Connaissances de l’APD.

Entre le CSI qui autorise ou non les traitements de données de santé, la plate-forme eHealth qui réalise les croisements et les transferts, et l’APD qui contrôle de ces mêmes opérations, quiconque figure à la fois dans les trois organismes peut être soupçonné de conflit d’intérêts.

La situation est en cours d’analyse au parlement fédéral, en commission justice. La Commission européenne s’intéresse aussi au sujet. En juin dernier, la Commission introduisait une procédure d’infraction à l’égard de la Belgique, pour manquement au RGPD. Puisque l’Autorité de protection des données est supposée être l’organe indépendant qui veille au respect de la protection des données personnelles des Belges, un manque d’indépendance est problématique.

Voilà donc pour le contexte. À garder en tête lorsqu’on s’intéresse aux croisements de données à caractère personnel, qui impliquent directement une partie des protagonistes cités ci-dessus.