L’avis n°42/2020 de l’Autorité de protection des données concernant la proposition de loi portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus vient d’être rendu et il est très critique !
L’APD adopte une position sans appel dont voici quelques points marquants :
La création d’une base de données centralisée, en particulier lorsque celle-ci reprend des données sensibles (à savoir, en l’occurrence, des données concernant la santé), provenant de sources diverses et qu’elle poursuit plusieurs finalités distinctes, constitue une ingérence importante dans le droit à la protection des données à caractère personnel. L’Autorité rappelle, une nouvelle fois, que toute ingérence dans le droit au respect de la protection des données à caractère personnel, en particulier lorsque l’ingérence s’avère importante, n’est admissible que si elle est nécessaire et proportionnée à l’objectif (ou aux objectifs) qu’elle poursuit et qu’elle est encadrée par une norme suffisamment claire et précise et dont l’application est prévisible pour les personnes concernées.
Notamment, la première finalité (1° rechercher et contacter les personnes visées à l’article 2, §§2, 3 et 4 par un centre de contact dans le cadre de la lutte contre la propagation du coronavirus COVID-19) est décrite d’une manière telle qu’elle ne permet pas de comprendre quelles données seront traitées par qui, comment ni pour atteindre quel objectif.
La proposition de loi actuelle n’encadre pas les traitements de données effectués par les principaux acteurs du projet, à savoir les centres de contact en charge du traçage et les médecins ou autres responsables amenés à fournir les données à enregistrer dans la banque de données.
La proposition de loi prévoit une centralisation d’une grande quantité de données, essentiellement médicales et donc sensibles, entre les mains d’un acteur unique qui n’est pourtant pas l’acteur qui se chargera de l’accomplissement des trois finalités prévues; Sciensano n’est en effet:
- pas en charge des opérations visant à contacter les personnes infectées (ou présumées infectées), opérations effectuées par des centres de contact sous la responsabilité des agences régionales compétentes en matière de santé;
- pas en charge de la réalisation des études épidémiologiques visées à l’article 1§2°;et pas non plus mandaté pour effectuer des «initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses»
- et pas non plus mandaté pour effectuer des «initiatives visant à combattre la propagation des effets nocifs causés par les maladies infectieuses»
En conclusion, l’Autorité constate que la proposition de loi semble vouloir mettre en place un système de traçage des contacts qui organise en réalité, sans nécessité apparente, la centralisation d’une quantité indéfinie (et indéfinissable) de données (y compris sensibles ou dont l’accès est restreint de par des lois spécifiques) au sein d’une banque de données constituée et gérée par une instance qui n’en fait pas usage.
Pour en savoir plus :
https://www.autoriteprotectiondonnees.be/sites/privacycommission/files/documents/AV42-2020.pdf