Cet article fait partie de notre dossier «Imaginer une santé en commun» (janvier 2021), à découvrir sur notre site dès ce mercredi.
Alter Échos: En quoi la crise sanitaire a-t-elle ravivé les débats et inquiétudes sur la question de nos données personnelles?
Franck Dumortier: Tout d’abord, du point de vue de la protection de nos droits et libertés, il s’agit de rappeler que les inquiétudes concernant nos données personnelles ne sont pas nouvelles. Que ce soit des données possédées par des entités privées ou publiques. Mais la crise de la Covid-19 a entraîné la mise en place de mesures extraordinaires comme le testing, le tracing manuel et digital et aujourd’hui la vaccination. Des mesures qui peuvent être jugées nécessaires. D’ailleurs la Ligue des droits humains n’a jamais remis en cause l’utilité de ces outils pour limiter la transmission du virus. Mais le problème se trouve dans les normes qui ont été adoptées pour gérer les données Covid: tout cela est décidé sans aucun débat démocratique et sans transparence sur les procédures de gestion de ces données.
Christian Léonard: Je vais considérer le point de vue du scientifique, au service de l’intérêt collectif, qui a besoin de données pour faire son travail. Depuis le début de la crise on nous demande des analyses pour lesquelles nous avons besoin de données. Et aujourd’hui, mon constat est que nous n’allons pas assez loin en matière de disponibilité et d’utilisation des données. Même nous à Sciensano, nous n’avons pas un accès immédiat à toutes les données pour des raisons de vie privée et de propriété. C’est une bonne chose mais cela constitue aussi un obstacle à des analyses fines et rapides. Cela montre qu’il y a un contrôle important. Je peux comprendre que sur le principe, il y ait des procédures qui ne soient pas considérées comme suffisamment démocratiques, suffisamment transparentes. Je n’ai pas cet angle de vue. Cela fait 25 ans que je travaille dans les données de santé publique et dans les faits, malgré ces craintes, il n’y a jamais eu de fuite ou d’utilisation malveillante de ces données. Je crois que factuellement cette crainte n’est pas fondée.
«Des techniques de pseudonymisation il en existe beaucoup. Le souci est qu’aucune information n’est disponible sur la technique de codage utilisée. De plus, on ne sait pas quelles sont les mesures de sécurité prises. Tout est très flou dans les textes légaux.» Franck Dumortier
AÉ: Pour bien comprendre, quel est le chemin des données Covid? Combien de temps sont-elles gardées et deviennent-elles anonymes à un certain moment?
FD: Il y a un très grand éventail de données Covid et elles n’empruntent pas toutes le même chemin. Vous avez le tracing manuel et digital et les données de vaccination qui sont de la responsabilité des Communautés et les données de testing ou de décès Covid qui arrivent chez Sciensano qui va ensuite traiter ces données et en sortir des analyses.
CL: Les données que nous recevons, au sein de Healthdata (le logiciel HD4DP «healthdata for dataproviders» est utilisé par les fournisseurs de soins dans les hôpitaux et laboratoires pour l’enregistrement des données relatives à la santé et aux soins de santé, NDLR), sont pseudonymisées et nous ne disposons pas de la «clé» qui permettrait de savoir qui est la personne derrière une donnée individuelle. Le but est d’éviter l’identification. De manière générale, ces données pseudonymisées liées à la Covid-19 sont conservées 30 années avant d’être détruites, ce qui n’est pas le cas des données issues de l’application Coronaalert, qui elles ne sont pas conservées.
FD: En effet, mais il faut ajouter que le premier problème en matière de transparence vient de ces données pseudonymisées. Des techniques de pseudonymisation, il en existe beaucoup. Le souci est qu’aucune information n’est disponible sur la technique de codage utilisée. De plus, on ne sait pas quelles sont les mesures de sécurité prises. Tout est très flou dans les textes légaux. Il faut donc que cela soit beaucoup plus explicite afin de garantir plus de transparence.
«Il faut noter que ces données arrivent au sein de Healthdata et non de Sciensano et l’accès aux données hébergées par Healthdata est très réglementé. Parfois le chercheur souhaiterait disposer de plus de liberté mais c’est le respect de la vie privée qui prime.» Christian Léonard
AÉ: La LDH, l’application Coviddata.be et de nombreux chercheurs se sont plaints d’un manque d’accès aux données de Sciensano. Pouvez-vous nous expliquer la procédure et qui peut avoir accès à ces données?
CL: Plusieurs éléments doivent être considérés. Tout d’abord, concernant les critiques qui ont été faites à Sciensano, il faut savoir que nous avons mis très rapidement toutes les données que nous analysons en open-data sur notre site internet, cela pour autant que l’on ne puisse retrouver les personnes dont il s’agit. Ensuite, je rappelle que Sciensano n’a pas accès à toutes les données qui nous sont demandées comme certains peuvent le croire, elles relèvent parfois d’autres institutions comme l’Inami ou le SPF Santé Publique. En outre, nous ne sommes pas nécessairement propriétaires des données Covid, celles relatives au contact tracing et à la vaccination appartiennent aux entités fédérées, nous ne pouvons donc les mettre à disposition des chercheurs, en tous cas pas sans l’autorisation des entités. Enfin, il faut noter que ces données arrivent au sein de Healthdata et non de Sciensano, et l’accès aux données hébergées par Healthdata est très réglementé. Parfois le chercheur souhaiterait disposer de plus de liberté mais c’est le respect de la vie privée qui prime.
FD: Je souhaiterais préciser que la LDH n’a jamais voulu critiquer directement Sciensano. Ce qui nous inquiète, c’est plutôt le manque de détail et de transparence des textes qui régissent la procédure d’acceptation – ou non – de fournir des données.
CL: Justement, concernant la procédure, tout est assez simple selon moi. Pour qu’un chercheur puisse avoir accès à des données complémentaires il lui suffit d’en faire la demande sur notre site internet et d’en préciser notamment la finalité. C’est une procédure bien connue des chercheurs. Les données doivent alors être utilisées dans le cadre du protocole de recherche transmis. Nous tentons de donner une réponse dans les 21 jours, même si cela peut prendre un peu plus de temps.
FD: En tant que juriste, j’appuie mon analyse sur les textes légaux. Or selon ces textes, la procédure ne s’arrête pas là. Ce n’est pas Sciensano qui donne la réponse finale, mais le Comité de sécurité de l’information (CSI). Et ce Comité prend ses décisions en catimini, dans une certaine opacité. Il est très difficile de savoir comment et pourquoi telle ou telle demande de chercheur a été acceptée ou refusée: les délibérations du CSI ne sont pas publiées au Moniteur belge. Il existe un site internet sur eHealth avec les délibérations mais qui est hors d’usage, même pour un chercheur comme moi. Il y a un manque flagrant de transparence.
AÉ: Beaucoup de personnes sont très critique à l’égard de ce Comité de sécurité de l’information (CSI). Pourquoi?
FD: Le CSI est un organe chargé, depuis 2018, d’autoriser ou non le partage de données personnelles détenues par les autorités publiques. Il s’agit d’une assemblée non élue, constituée contre l’avis du Conseil d’État et qui a déjà fait l’objet de plaintes. Ce comité est cité dans l’accord de coopération relatif au traçage de la Covid au sujet de la protection des données. Le problème, c’est que cet accord ne prévoit pas tous les éléments essentiels en matière de protection de la vie privée puisqu’il renvoie à ce comité le choix de décider à qui ces données peuvent être transmises et d’en décider les modalités. Cela va contre l’article 22 de la Constitution et contre le Règlement général relatif à la protection des données (RGPD). Il est important d’ajouter que les délibérations de ce Comité sont préparées par Frank Robben qui est au centre de multiples conflits d’intérêts (lire «Sécurité sociale : l’échange hors contrôle de nos données», AÉ n° 433, novembre 2016. Lire aussi l’enquête de Quentin Jardon pour Wilfried: «Frank Robben, l’omniscience derrière le contact-tracing»). Et c’est cet organisme qui décide de manière opaque sans règle les destinataires de nos données personnelles. C’est réellement problématique! Si aucune loi ne prévoit précisément qui peut avoir accès aux données ou non, cela peut très rapidement amener à des dérives totalitaires.
«Depuis le début de la crise, toutes les grandes décisions sont prises par arrêté royal ou ministériel sans vote du Parlement et sans prise en compte des avis du Conseil d’État et de l’Autorité de protection des données (ADP). Cela signifie que les garanties de l’Etat de droit ne sont pas respectées.» Franck Dumortier
AÉ: N’y-a-t-il pas là une problématique démocratique?
FD: Si totalement. Et c’est bien là que réside l’inquiétude de la Ligue des droits humains. Depuis le début de la crise, toutes les grandes décisions sont prises par arrêté royal ou ministériel sans vote du Parlement et sans prise en compte des avis du Conseil d’État et de l’Autorité de protection des données (ADP). Cela signifie que les garanties de l’État de droit ne sont pas respectées. C’est encore le cas avec l’arrêté ministériel du 12 janvier qui donne la possibilité à l’Office national de sécurité sociale, de collecter, combiner et traiter, y compris via le datamining et le datamatching, des données concernant la santé relatives au covid, de contact, d’identification, de travail et de résidence relatives aux travailleurs, salariés et indépendants, en vue de soutenir le traçage et l’examen des clusters et des collectivités. Ce sont des questions trop importantes, qui ont un impact sur chaque citoyen, que ce soit un ministre qui certaines entités décider seul, sans débat démocratique au Parlement.
CL: Le débat démocratique est un processus souvent très long, surtout dans le système politique belge et pour des sujets sensibles. Nous sommes en crise et les décisions doivent être prises rapidement. Il ne faut pas refaire l’histoire de cette crise. Le temps du débat démocratique n’est pas celui de la prise de décisions politiques dans le cadre d’une crise. Malgré cela, les accords et les textes juridiques apportent, selon moi, toute la sécurité nécessaire, mais je peux comprendre que certains souhaitent encore plus de sécurité. C’est une question quasiment de posture philosophique fondée ou non sur la confiance dans le système et dans celles et ceux qui le font fonctionner.
FD: Je suis d’accord que notre système démocratique a des faiblesses et que nous manquons d’une forte opposition au sein du Parlement. Mais cela ne doit pas être une excuse pour ne pas respecter l’État de droit, le vote de loi, la consultation, etc. L’État de droit est là pour éviter les dérives autoritaires et aujourd’hui ce principe démocratique n’est pas respecté. Nous sommes dans une situation de crise, en effet. Cela doit d’autant plus inciter à respecter l’État de droit. Sans quoi, cela risque de créer des précédents préjudiciables pour le respect de la vie privée.
«Il ne faut pas refaire l’histoire de cette crise. Le temps du débat démocratique n’est pas celui de la prise de décisions politiques dans le cadre d’une crise.» Christian Léonard
AÉ: Les données des vaccins sont-elles un nouveau risque pour nos libertés individuelles?
CL: Pour le moment rien n’est encore déterminé à propos de ces données. Mais on ne peut présumer de ce qui sera décidé dans les autres pays notamment en termes d’autorisation pour voyager. L’idée d’un passeport vaccinal sera probablement discutée pour les voyages entre pays mais je ne pense pas que ce sujet soit pertinent au sein d’un pays tant pour des raisons éthiques que juridiques. Et sur ce point, je suis prêt à me positionner contre.
FD: Encore une fois, en tant que juriste la question que je me pose est la suivante: est-ce que le contrat social indiqué dans une norme contient assez de balises pour éviter les dérives? Pour l’instant, sur la question des vaccins, ce n’est pas le cas. Il y a des craintes et nous pouvons tout à fait imaginer. Par exemple des discriminations en matière d’accès aux transports publics. Je veux bien penser qu’au sein du CSI, il n’y ait que des gens bien. Sauf que nous ne sommes pas dans un monde de bisounours et que l’État de droit est justement là pour éviter toutes dérives potentielles. Or, aujourd’hui, rien n’interdit légalement la mise en place d’un passeport vaccinal et de possibles discriminations qui pourraient venir avec. C’est un autre sujet qui inquiète la LDH.
«Je crois qu’il faut le dire: les données Covid, c’est peanuts par rapport à toutes les données de santé que l’on possède sur nous. S’il y a matière à s’inquiéter, il aurait alors fallu s’inquiéter beaucoup plus tôt. Mais mon expérience dans ce domaine m’invite à une totale confiance.» Christian Léonard
AÉ: Est-il légitime de s’inquiéter de cette explosion des données ces dernières années et encore plus avec la crise de la Covid?
CL: Les gens ont le droit de s’inquiéter. Mais dans ce cas, je ne comprends pas pourquoi ces mêmes personnes n’hésitent pas une seconde à prendre leur GSM et à mettre la géolocalisation Google ou Facebook. Aujourd’hui nous sommes super tracés par des sociétés privées qui possèdent des données très sensibles. De plus, les mutualités détiennent et gèrent une base de données extrêmement complète de toutes les dépenses de santé de chacun d’entre nous et cela, à juste titre d’ailleurs, n’inquiète personne. Je crois qu’il faut le dire: les données Covid, c’est peanuts par rapport à toutes les données de santé que l’on possède sur nous. S’il y a matière à s’inquiéter, il aurait fallu s’inquiéter beaucoup plus tôt. Mais mon expérience dans ce domaine m’invite à une totale confiance.
FD: Tout d’abord, la différence entre les sociétés privées et l’État, c’est que l’État détient le monopole de la contrainte. Pas Facebook ou Google. Ensuite ce que dit monsieur Léonard est juste. On connaît beaucoup de choses sur notre santé. Cela ne veut pas dire qu’il ne faut pas le combattre et mettre en place des règles précises et communes à toutes les institutions pour chaque type de données. Petite précision: on ne doit pas avoir peur des données en tant que telles. On doit plutôt s’inquiéter lorsque le cadre légal, pas assez précis, peut amener à une mauvaise utilisation de ces données.
CL: Je suis tout à fait d’accord pour qu’il y ait davantage de transparence sur les procédures, qu’il y ait davantage de précision dans les textes. Cela va légitimer davantage le travail que nous faisons. Mais je rappelle une chose: en crise, l’État n’a pas l’avantage du temps. Et je pense qu’il ne faut pas uniquement réfléchir en termes légaux, mais aussi éthiques et pragmatiques, et regarder ce qui se fait sur le terrain. Comme je l’ai dit plus tôt, cela fait 25 ans que je travaille sur les données de santé et je n’ai jamais vu de mauvaise utilisation de données pour réduire nos libertés. Il faut aussi prendre cela en compte.
Cet article fait partie de notre dossier «Imaginer une santé en commun» (janvier 2021) à découvrir sur notre site dès ce mercredi.
En vente dans toutes les bonnes librairies
Disponible aussi sur abonnement.
En savoir plus
À relire aussi: le dossier «Big data, bug brother?», Alter Échos n°433, novembre 2016.
