Vie privée : la Belgique croise désormais des données ONSS et des données de vaccination COVID

Le croisement. Episode 1.

En septembre, des données administratives de l’ONSS ont été croisées avec les données vaccinales des Belges pour obtenir le taux de vaccination de chaque hôpital et chaque maison de repos du pays. Aucun accord des hôpitaux ou du personnel soignant n’était requis, aucun consentement, puisqu’il s’agit d’un traitement de données pseudonymisées à des fins scientifiques et statistiques. «  C’est conforme au RGPD  », indiquent l’ONSS (Office national de sécurité sociale), le Centre fédéral d’expertise des soins de santé, la plate-forme eHealth et le Comité de sécurité de l’information. La base légale est l’accord de coopération du 12 mars 2021. Alexandra Jaspar, co-directrice de l’Autorité de protection des données, perçoit néanmoins un glissement démocratique : «  Le sujet devrait passer devant le parlement  ». D’autant que les entreprises de 50 employé·es ou plus seront bientôt concernées par ce traitement de données.

Cet article s’insère dans l’un des volets de notre grande enquête participative sur l’hypersurveillance à la belge.

BANNER-VERT-300x250px.gif

Prenons deux mondes bien distincts.

A gauche, l’emploi ; à droite, la santé.
A gauche, l’ONSS ; à droite, VaccinNet+.

A gauche : l’Office national de sécurité sociale (ONSS), un pilier de la Sécu, détient des données sur les salaires, les lieux et les temps de travail. Grâce à son Répertoire des employeurs et sa base de données DmfA, l’ONSS peut déterminer : qui est salarié·e ? Qui travaille où ? Combien d’employé·es pour telle entreprise au cours du dernier trimestre ?

A droite : VaccinNet+, une base de données nationale sur les vaccins administrés contre le Coronavirus. Qui sont les Belges totalement vacciné·es ? Qui a reçu une seule dose ? Deux doses ? Qui a fait des complications suite au vaccin ? Etc.

Lorsqu’on croise ces deux univers, on peut répondre à une question très sensible : quel est le taux vaccinal d’une entreprise ? Et dès lors : où travaillent les personnes non-vaccinées ?

Jusqu’en septembre, ce croisement (ONSS et VaccinNet+) était purement hypothétique. Depuis, c’est une réalité.

croisement santé 1.jpg
Sarah Fabre. CC BY-NC-ND

Juré conforme. Vraiment ?

Le premier cas de figure concerne le personnel soignant. Cet été, le gouvernement fédéral a commandé une étude au Centre fédéral d’expertise des soins de santé (KCE) pour connaître le taux de vaccination des employé·es de chaque établissement de soins, classé·es selon quatre tranches d’âge. La publication de cette étude a eu lieu ce mercredi 29 septembre, et les analyses découlent directement du premier croisement « ONSS x VaccinNet+ ».

L’objectif politique est d’affiner la stratégie vaccinale du pays sur base des informations obtenues. L’identification des soignant·es et des établissements de soins sera impossible, précise le KCE, puisque les données sont pseudonymisées et agrégées. Tout est en règle, estimait fin août le Comité de sécurité de l’information. Selon le CSI, le projet est conforme au RGPD, qui autorise le traitement de données pseudonymisées (non identifiables, donc) à des fins de recherche scientifique et statistique. Le projet dispose d’une base légale - l’accord de coopération du 12 mars 2021 - qui prévoit l’utilisation des données vaccinales des Belges pour déterminer le taux de vaccination de la population.

Le 26 août dernier, dans la délibération n°21/148, le CSI autorisait donc le KCE à recevoir et analyser les données pseudonymisées tirées du tout premier croisement « ONSS x VaccinNet+ ».

Et c’est ainsi qu’un nouveau croisement sensible a été ajouté à la longue liste des croisements de données de santé déjà autorisés en Belgique.

Une première

«  Oui, c’est la première fois que les données ONSS sont couplées avec la base de données VaccinNet+  », nous confirmait à la mi-septembre Sabine Stordeur, responsable de la stratégie de vaccination pour le Commissariat Corona du gouvernement fédéral. «  Mais pour complément d’information, ajoutait-elle, la Conférence Interministérielle Santé publique envisage que ce calcul puisse être entrepris dans les entreprises d’une certaine taille. Les données seraient pseudonymisées et mises à la disposition des médecins de prévention dans le cadre strict de leur mission.  »

Effectivement, le 15 septembre, le Comité de sécurité de l’information publie une autre délibération  : les croisements de données « ONSS x VaccinNet+ » sont désormais élargis aux « unités d’établissement avec au moins cinquante employés ».

«  Ces croisements sont nouveaux, et cela doit nous inquiéter  », réagit spontanément Alexandra Jaspar, l’une des directrices de l’Autorité de protection des données, interrogée par nos soins. Elle demande : «  À quoi s’attendre pour la suite ? Y aura-t-il des croisements ONSS et VaccinNet+ pour tous les secteurs professionnels, comme l’enseignement ou d’autres ? Il est effectivement important de souligner que ce croisement est une première, parce qu’après, c’est l’accoutumance à ce genre de pratique, puis le basculement. »

En découle, selon elle, une question majeure chargée d’enjeux démocratiques : «  Un tel croisement de données ne devrait-il pas être validé par le parlement, plutôt que par le Comité de sécurité de l’information ? Et donc faire l’objet d’une loi, d’un décret ou d’une ordonnance ? Pour moi, la réponse est oui, bien sûr.  »

Pour alimenter ces réflexions politiques et citoyennes : creusons. Emparons-nous du croisement de données sur le taux vaccinal du personnel soignant pour comprendre le fonctionnement général des traitements de données à caractère personnel, et s’interroger dans la foulée sur cette frontière, souvent ténue, entre « veiller sur nous » et « nous surveiller ».

Continuez d’en apprendre sur le croisement des données de santé, en lisant l’épisode suivant.
Et pensez à prendre (ou à offrir !) une période d’essai pour (faire) accéder à tous les contenus gratuitement durant 1 mois

190820-Medor-site_V02-2.png
Tags
  1. La DmfA est une banque de données relative aux rémunérations et aux temps de travail pour les salarié·es et les fonctionnaires, et uniquement pour ces status-là. Elle ne contient donc pas d’informations sur les travailleur·es indépendant·es.

  2. Règlement général sur la protection des données, édicté en avril 2016 par le Parlement européen.

  3. Le Comité de sécurité de l’information, ou CSI, est l’instance qui vérifie si les communications de données à caractère personnel respectent les conditions énoncées par le RGPD et par le cadre légal belge.
    La chambre « sécurité sociale et santé » du CSI délibère sur les traitements de données de santé. Le statut légal du CSI suscite actuellement de nombreuses interrogations. Le CSI était à cet égard qualifié « d’OVNI institutionnel » par Le Soir, il y a quelques mois.

  4. Pour en prendre conscience, rien de tel que d’éplucher l’onglet de la plate-forme eHealth dédié aux délibérations du Comité de sécurité de l’information, chambre sécurité sociale et santé.

  5. L’APD est l’organe de contrôle indépendant qui veille au respect de la protection des données à caractère personnel. Alexandra Jaspar en est la co-directrice. Cette année, elle a exposé à plusieurs reprises certains dysfonctionnements internes de l’APD, tel un manque d’indépendance de ses membres.

Dernière mise à jour

Un journalisme exigeant peut améliorer notre société. Voulez‑vous rejoindre notre projet ?

La communauté Médor, c’est déjà 2518 membres et 1730 coopérateurs

Vous avez une question sur cet article ? Une idée pour aller plus loin ?

ou écrivez à pilotes@medor.coop

Médor ne vous traque pas à travers ses cookies. Il n’en utilise que 3 maximum pour la sécurité et la navigation.
En savoir plus