Que penser des mesures de traçage du coronavirus proposées en Belgique ?

(Ce document est largement basé sur un document d’Amnesty international produit en avril 2020, et intitulé « Orientations spécifiques sur les limitations liées à la technologie et aux droits humains »)

Introduction

À l’heure d’écrire ce document, deux propositions de loi sont en discussion au Parlement belge : l’un concerne l’encadrement nécessaire pour le lancement d’une application destinée aux smartphones, l’autre vise à créer une base de données nécessaire (? [1]) à la mise en place de centres de contacts permettant d’avertir les personnes ayant rencontré des personnes porteuses du virus des risques qu’elles courent, et de leur donner des conseils à suivre. SI ces centres n’arrivent pas à contacter par téléphone les personnes concernées, il est prévu de des personnes puissent être envoyées à leur domicile pour leur faire part des précautions à prendre.

L’attention du public (et de nos parlementaires) a d’abord été attirée par l’application digitale (plus directement « visible » que la base de données).

Si cette application digitale n’a pas encore été lancée (il existe des applications open source, mais dont l’efficacité est limitée tant qu’un seuil critique — difficile à atteindre sans “estampillage” par les autorités et collaboration des médecins — n’est pas atteint), la base de données sur laquelle “reposent” les centres de contacts a bien été mise en place depuis la publication au Moniteur d’un arrêté de pouvoirs spéciaux, le 4 mai dernier [2]. Cet arrêté, passé quasi inaperçu, exige d’ailleurs d’être remplacé par une loi le 4 juin au plus tard.

Ceci est important, car un arrêté de pouvoirs spéciaux ne requiert pas d’avis du Conseil d’état, contrairement à une proposition de loi [3].

On retiendra deux éléments importants donc :

— une base de données, encadrée par l’arrêté de pouvoirs spéciaux existe donc déjà. Elle devrait être révisée si la loi adoptée bientôt devait être différente de l’arrêté de pouvoir spéciaux qui a permis sa mise en oeuvre provisoire

— l’Autorité de Protection des Données (APD) [4]dont la mission est notamment de donner son avis sur des propositions telles que celle-ci, avait déjà été très critique par rapport à l’arrêté ; elle l’a été encore plus par rapport à la proposition.

Tout ceci est encore plus complexe dans la mesure où les Régions jouent elles aussi un rôle important dans le travail de prévention (cette prérogative leur appartient). Pour résumer à la grosse louche : le Fédéral définit les règles — et met en place la base de données — cependant que les Régions mettent en place les centres de contacts [5].

Afin de répondre à ces critiques, plusieurs associations (dont Amnesty International et la Ligue des droits humains (LDH)) ont rendu publique une proposition de loi alternative [6] qui rend possible la combinaison des besoins d’une lutte efficace contre la pandémie et le respect des droits humains.

Cette proposition alternative, réalisée avec l’aide de spécialistes des universités, a été présentée comme “amendement global” à la proposition initiale par un parlementaire.

Par ailleurs, tout un travail de plaidoyer a été réalisé par Amnesty et la LDH, et nous avons eu l’occasion de nous entretenir avec les acteurs impliqués de très près dans ces projets, y compris le directeur de la Banque Carrefour de la Sécurité Sociale et de E-Health.

Que peut-on reprocher à ces projets ?

De façon générale, les objectifs politiques, médicaux et épidémiologiques actuels sont certes essentiels. Mais il est fondamental que ces données ne puissent pas être utilisées pour d’autres usages qu’un changement radical d’orientation politique ou de gouvernement rendrait possible, par exemple. Des lois peuvent être modifiées, des données effacées ne peuvent être récupérées…

Il faut donc être attentifs à plusieurs critères essentiels :

Finalités limitées

Les données collectées ou utilisées pour lutter contre la pandémie ne doivent pas être utilisées à d’autres fins, et les finalités pour lesquelles les données seront utilisées doivent être claires au moment de la collecte des données. Il est important que les données utilisées à des fins sanitaires ne soient pas réutilisées à d’autres fins, comme la police, l’immigration ou l’exploitation commerciale par des acteurs privés.

Or, la proposition de loi prévoit trois finalités aux pourtours parfois flous :

1° rechercher et contacter les personnes visées (…), par un centre de contact dans le cadre de la lutte contre la propagation du coronavirus COVID-19 ;

2° réaliser des études scientifiques, statistiques et/ou d’appui à la politique, après pseudonymisation, par des épidémiologistes associés au COVID-19 Risk Assessment Group ou pour des épidémiologistes accrédités par le comité de sécurité de l’information.

3° communiquer des données aux services d’inspection de la santé des régions, visés dans l’arrêté ministériel du 19 juin 2009 déterminant la liste des infections qui doivent être déclarées et portant délégation de compétences à attribuer aux médecins-fonctionnaires et aux fonctionnaires, (…)[
[Projet de loi, DOC 55 1249/001 , Chambre des Représentants de Belgique]]

Si le premier objectif est tout à fait légitime dans le cadre de cette loi, il n’en va pas de même pour les deux autres, et certainement pour le troisième. Ceci est d’autant plus important que la proposition espère que

« (…)les données peuvent être sauvegardées par Sciensano sous une forme pseudonymisée pendant au maximum 30 ans après le décès du patient. Au terme de cette période, elles peuvent uniquement être sauvegardées sous une forme anonymisée. » [7]

On notera que la durée de conservation des données est certainement démesuré par rapport aux premier et troisième objectifs, et que l’anonymisation totale doit être réalisée au plus vite (les épidémiologistes reconnaissent tous en général que des données trop précises ne sont pas nécessaires). Il n’est absolument pas utile, par exemple, de conserver pendant des dizaines d’années – voire même au-delà de la durée de la pandémie- le numéro INAMI du médecin traitant.

C’est que le risque est grand de voir ces données servir un jour à des objectifs de profilage. Il en existe déjà quelques exemples…

Ainsi, le système OASIS vise à la détection des fraudes sociales. « Un (…) « entrepôt de données qui répond au nom exotique de « OASIS » a été créé. Il regroupe un grand nombre de données servant de base aux opérations de profilage ». Par exemple, depuis 2012, les sociétés de distribution et les gestionnaires de réseaux de distribution envoient automatiquement et électroniquement à la Banque-carrefour de la Sécurité Sociale les données de consommation supérieures ou inférieures à 80% de la consommation moyenne correspondant à la composition du ménage officiellement communiquée. Plus besoin de présomption de fraude : le système analyse lui-même toutes les données et déclenche une alarme lorsque le recoupement avec d’autres données laisse entrevoir un « profil » de fraudeur. Ceci se fait sans même que le consommateur ne soit informé de l’usage qui est fait de ces données » [8].

La base de données mise en place dans le cadre du Covid va-t-elle rejoindre elle aussi le warehouse OASIS, ou en sera-t-elle exclue ? Le CSI (Comité de Sécurité de l’Information) pourra-t-il autoriser un tel usage ?

L’APD a fait part de préoccupations semblables :

L’Autorité attire l’attention du demandeur quant aux risques d’une réutilisation des données reprises dans la base de données centrale à des fins telles que (1) le contrôle des médecins (qui auraient trop ou trop peu recommandé à leurs patients de se faire tester, voire trop tard), (2) le recrutement par certains destinataires de données, de travailleurs ayant déjà été testés ou ayant déjà été infecté, voire encore (3) le refus de rembourser certains soins à des patients qui n’auraient pas suivi les recommandations de s’auto-isoler ou de se faire tester. Si de telles utilisations des données reprises dans la base de données sont envisagées, elles doivent être expressément mentionnées (ou exclues) dans la proposition de loi. [9]

Dès lors, l’APD recommande (avec raison) de :

“clarifier, pour chaque finalité, les catégories de données qui seront traitées, la ou les sources de ces données, l’identité du ou des responsables du traitement, les durées de conservation des données ainsi que, le cas échéant, les catégories de destinataires à qui ces données pourront être communiquées et les circonstances dans lesquelles et les raisons pour lesquelles elles seront communiquées. La rédaction actuelle de la proposition de loi qui ne distingue pas ces différents éléments en fonction des finalités poursuivies nuit gravement à la transparence et à la prévisibilité des traitements qu’il entend encadrer. “ [10]

Dans ses conclusions, l’APD

(…) insiste, à nouveau, pour que la proposition de loi soit restructurée et qu’elle distingue, pour chacune des finalités poursuivies, les sources des données collectées, les catégories de données collectées, le ou les responsables du traitement, la durée de conservation des données, les catégories de destinataires auxquels les données pourront être communiquées et les circonstances dans lesquelles et les raisons pour lesquelles elles leur seront communiquées. Lors de cette restructuration de la proposition de loi, qui devra en améliorer la lisibilité et la prévisibilité, le demandeur veillera, par ailleurs, à ce que les traitements qu’il encadre respectent les principes de nécessité et de proportionnalité. [11]

Recours au NIRN ou NISS

Le Registre national (RN) des personnes physiques est une source authentique dont le but fondamental est l’identification. Il contient en effet les données de toutes les personnes qui sont inscrites dans les registres de population et au registre des étrangers des communes, au registre d’attente et dans les registres diplomatiques et consulaires.

Les registres de la Banque Carrefour de la Sécurité Sociale (BCSS) sont complémentaires et subsidiaires au Registre national. La mission d’identification de la BCSS est limitée dans le sens où elle vise uniquement les personnes qui n’ont jamais été reprises au Registre national (étranger qui travaille en Belgique) ou dont les données ne sont plus actualisées dans le Registre national (personne radiée d’office ou radiée pour un départ à l’étranger sans inscription dans les postes diplomatiques), mais que l’on doit néanmoins pouvoir identifier. [12]

Ces numéros sont en quelque sorte des clés d’accès non seulement aux banques de données dont elles sont issues, mais aussi à d’autres bases de données (Mutuelles, Dossier médical,…) pour peu que l’accès y soit autorisé. Or l’on sait que les recoupements (voir plus haut) sont fréquents. L’enregistrement de ces deux numéros offre des possibilités multiples de recoupements entre les données contenues dans la banque de données Sciensano et des données contenues dans d’autres fichiers (pour des motifs répressifs, sociaux, fiscaux etc).

Même si le RGPD empêche théoriquement ce type de croisement, la nouvelle loi est suffisamment vague (notamment dans son troisième objectif) que de telles dérives pourraient apparaître. Ceci est d’autant plus vrai que le CSI qui devrait être compétente à la fois pour la prescription (déterminer au cas par cas les usages qui pourraient en être fait), remplaçant en quelque sorte le législateur, mais aussi pour le contrôle.

La proposition de loi sur l’application digitale est beaucoup plus prudente, puisqu’on y a intégré l’article 10, qui met les points sur les i (on aurait souhaité que s’y trouve “social” également).

Limitation /minimisation du stockage des données

La collecte de données doit être aussi limitée que possible, stockée de manière sécurisée et soumise à une suppression obligatoire et limitée dans le temps. Les applications dotées de fonctions particulièrement invasives telles que l’accès à une caméra ou à un microphone, l’accès à des fichiers ou à des messages personnels, ne devraient pas être autorisées.

À ce titre, on notera que pour l’APD, « (…) la proposition de loi (…), malgré une rédaction qui manque de clarté et de cohérence, semble vouloir mettre en place un système de traçage des contacts mais organise en réalité, sans nécessité apparente, la centralisation d’une quantité indéfinie (et indéfinissable) de données (y compris sensibles ou dont l’accès est restreint de par des lois spécifiques) au sein d’une banque de données constituée et gérée par une instance qui n’en fait pas usage » [13]. La critique est sévère mais justifiée.

Respect de la vie privée dès la conception

Les États devraient utiliser une technologie qui limite la collecte, la réutilisation et le stockage des données par conception. Lorsqu’il existe des alternatives de pointe pour préserver la vie privée, le principe de proportionnalité oblige l’État à utiliser ces technologies et à s’abstenir d’utiliser d’autres technologies – qui portent davantage atteinte à la vie privée.

On notera ici que rien n’est prévu en ce qui concerne l’échange de données éventuelles avec des systèmes similaires d’autres pays, dont des pays frontaliers.

Or, il va de soi qu’un système de traçage efficace doit pouvoir prendre en compte la situation engendrée par des contacts de l’autre côté des frontières. On pense ici aux travailleurs transfrontaliers, notamment. Des protocoles devront être mis sur pied pour garantir que les processus de protection des données resteront valables dans tous les cas. Cette exigence est aussi valable en ce qui concerne l’application digitale.

Surveillance

La collecte et l’utilisation des données doivent être surveillées et réglementées de manière indépendante. Le mécanisme de surveillance doit pouvoir examiner l’ensemble des incidences sur les droits de l’homme, au-delà de la protection des données et de la vie privée. Il doit pouvoir accéder aux données et aux algorithmes, être habilité à rendre des décisions contraignantes et être financé à la hauteur de la tâche. Comme mentionné plus haut, le double rôle du CSI semble rendre cette mission improbable ou en tous cas difficile.

Il serait essentiel aussi que tout mécanisme de contrôle ait la possibilité de vérifier non seulement les demandes d’usages, mais aussi qu’il puisse procéder à des examens surprises de l’usage réel des données.

Les algorithmes éventuels mis en oeuvre doivent être transparents, de telle sorte que cet organisme de contrôle puisse vérifier qu’il n’y a pas d’usage abusif des données stockées (ou que ces dernières seraient toujours présentes alors qu’elles devraient être détruites).

Cette nécessité de surveillance globale ne fait que rappeler le besoin de la création — enfin — d’un Institut National des Droits Humains, qui pourrait jouer un rôle important dans ce genre de situation.

Efficacité

L’efficacité des outils de données utilisés a-t-elle été prouvée sur la base de preuves scientifiques ? Les États ne devraient pas utiliser de technologies dont les résultats sont inconnus ou inconnaissables, et devraient plutôt s’appuyer sur d’autres outils dont l’efficacité a été prouvée, sous réserve de garanties. Il y a eu de nombreuses discussions sur cette question, notamment en ce qui concerne l’application digitale. Sans qu’il soit nécessaire ici de rentrer dans ce débat, il est sûr cependant que sans une participation active des citoyens – et donc de leur confiance- le système ne fonctionnera pas.

Contrôle

Les États ne devraient pas utiliser des algorithmes d’auto-apprentissage ou de boîte noire pour la prise de décision qui crée un effet juridique affectant les individus de manière aussi significative. Les algorithmes utilisés dans la lutte contre la fraude fiscale ou sociale, ou pour toute autre raison (lutte contre le terrorisme) sont assez obscurs et ne permettent pas vraiment de contrôles indépendants. Qu’en sera-t-il cette fois ?

Quelle garantie aura le citoyen que les données qu’il confie au système (même via son médecin) ne pourront pas être utilisées à son encontre ou à celui d’une autre personne (statut de cohabitant, détermination du culte pratiqué,…) ?

Voir également le point ci-dessus consacré à la surveillance.

Pour l”APD,

“(…) à titre de remarque finale, la proposition de loi est muette quant à l’information à fournir (contenu, contexte, canal etc.) aux patients, contacts et autres personnes dont les données seront enregistrées dans la base de données centrale. Au moment où un patient effectue un test, est-il informé du fait que le résultat du test et toute une série de données sont enregistrées dans une base de données centrale, seront utilisées par un centre de contact pour contacter ces contacts et seront transmises aux destinataires visés par la proposition de loi ? » [14]

Anonymat

De nombreuses formes d’anonymisation ou de pseudo-anonymisation des données sont facilement réversibles et n’offrent donc pas de garanties significatives contre les atteintes aux droits de l’homme. Les données utilisées pour COVID-19 ne devraient pas pouvoir être désanonymisées. Les affirmations d’entités privées ou d’États concernant l’anonymat des données doivent être étayées par des preuves scientifiques et la transparence. La pseudonymisation à ce regard, est largement insuffisante, et certainement sur des périodes aussi longues, qui dépassent largement le cycle de maladie chez l’individu.

Transparence

Les États et les entreprises doivent faire preuve de transparence quant à la nature et à l’étendue des mesures de surveillance prises. Le code qui sous-tend l’utilisation des données personnelles devrait être rendu public afin de faciliter l’examen du public et des experts.

On est loin du compte ici, même si des efforts ont été faits pour expliquer la procédure (site web notamment).

Égalité

Les atteintes aux droits humains résultant d’une utilisation abusive des données et des violations de la vie privée ont un impact différent sur les personnes en fonction de leur interaction avec d’autres aspects de leur identité et de leur statut social, politique et économique. Les États et les entreprises doivent veiller à ce que les données ne soient pas utilisées de manière à avoir un impact disproportionné sur les personnes en raison de leur statut économique, de leur statut d’immigration, de leur handicap ou de tout autre motif protégé. Par exemple, les différents types de données de localisation peuvent être plus ou moins granulaires ou spécifiques, ce qui peut avoir un impact disproportionné sur les communautés les plus pauvres qui ont tendance à vivre de manière disproportionnée dans des environnements plus surpeuplés.

La finalité trois est suffisamment vague pour permettre de telles dérives.

Motif de traitement prévu par la loi ou consentement

Le traitement des données doit être volontaire et fondé sur un motif de traitement prévu par la loi ou sur un consentement explicite, spécifique et éclairé par rapport aux objectifs du traitement. Le consentement implique un caractère volontaire et une base d’acceptation (opt-in). Il ne doit pas y avoir d’éléments de coercition ou d’inégalité de pouvoir de négociation. SI cela semble respecté en ce qui concerne l’application, il n’en va pas de même apparemment avec l’inscription dans la base de données, même s’il appartient toujours au citoyen de “révéler” ou non les personnes avec lesquelles il a été en contact quelques jours avant l’apparition de la maladie ou du test. Même si cela est prévu par le RGPD, rien n’est prévu dans la loi en ce qui concerne la possibilité pour le citoyen de consulter ses données, voire même de les modifier ou de les faire effacer.

Sécurité

Les données collectées dans le cadre de COVID-19 devraient être stockées, transmises et supprimées de manière sécurisée dès que possible après avoir atteint l’objectif déclaré.

Dates de fin et clauses de caducité

Les mesures de surveillance d’urgence doivent être limitées dans le temps et ne doivent pas devenir permanentes. Cela signifie non seulement que les données collectées doivent être irrévocablement supprimées dès que possible après qu’elles ont permis d’atteindre l’objectif déclaré, mais aussi que la collecte et l’utilisation des données doivent cesser à la fin de la période d’urgence.

S’il devait y avoir plusieurs finalités, la date de fin de celles-ci doit être déterminée par la loi pour chacune d’entre elles.

On ne peut que rejoindre l’avis de l’APD, lorsqu’elle déclare :

« il convient de prévoir dans la proposition de loi que les données seront effacées, au fur et à mesure qu’elles ne sont plus nécessaires aux fins du traçage. Concrètement,

— les données relatives aux personnes infectées ou présumées l’être, devraient être supprimées quand ces personnes ont été contactées et auront, ou pas, selon leur choix, fourni l’information demandée aux agents des centres de contact ; et

— les données relatives aux personnes qui ont été en contact avec des personnes infectées ou présumées l’être devraient être supprimées dès que ces personnes auront été contactées et auront reçu les recommandations de rigueur. »
[15]

Conclusions

Les garanties en matière de droits humains ne sont pas un obstacle au progrès, elles sont essentielles et contribueront à instaurer la confiance dans la surveillance de la santé publique – ce qui est nécessaire pour qu’elle soit efficace.

En outre, si la mise en place de certaines garanties demande du temps, de l’énergie et de l’argent, beaucoup d’entre elles ne le font pas et peuvent être appliquées immédiatement sans répercussions négatives sur leur efficacité. Par exemple, la fixation de dates fermes pour la suppression des données, la garantie que les données sont stockées en toute sécurité et l’interdiction d’utilisations supplémentaires des données, telles que les utilisations commerciales ou répressives, devraient pouvoir être mises en place sans grand effort.


[1] [1] la nécessité d’une telle base a été remise en question par l’APD dans son avis

[2] 4 MAI 2020. — Arrêté royal n° 18 portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID-19
[3] c’est plus compliqué que cela (différence entre une proposition de loi et un projet de loi) mais dans ce cas-ci l’avis du CE a bien été demandé, tant pour la proposition de loi que pour la proposition alternative déposée par les ONG et des académiques, et qui a été avancée comme amendement global au projet de loi.
[5] Ceci a néanmoins été contredit par le Conseil d’état dans avis 67.482/3 du 3 juin 2020
[7] idem
[8] Elise Degrave, « L’e-gouvernement et La protection de La vie privée », Larcier, 2013, pp 74 & suiv.
[9] Autorité de Protection des Données, Avis n° 42/2020 du 25 mai 2020
[10] Idem
[11] Idem
[13] Autorité de Protection des Données, Avis n° 42/2020 du 25 mai 2020
[14] Autorité de Protection des Données, Avis n° 42/2020 du 25 mai 2020
[15] Autorité de Protection des Données, Avis n° 42/2020 du 25 mai 2020

Article original: https://www.amnesty.be/infos/blogs/blog-philippe-hensmans/article/penser-mesures-tracage-coronavirus-proposees-belgique