Données personnelles: il est grand temps que l’on vous dise…

Beaucoup de citoyens semblent percevoir qu’il existe un « problème » majeur lié à la manière dont nos données personnelles seraient stockées, partagées et réutilisées par l’Etat. Pourtant, la nature et l’ampleur de ce problème semblent embourbées dans un océan de complexité. Plutôt que complexe, ce problème majeur est en réalité la résultante de plusieurs décisions et phénomènes, qui rendent sa compréhension globale très difficile. Avec pour conséquence que, pour nous, citoyens, il n’est pas aisé d’appréhender les enjeux de ce problème majeur. Ni donc de comprendre en quoi la situation est critique et n’est pas juste un débat de juristes.

L’opacité du dossier est un de ses alliés. La pandémie également, avec la tentation simpliste d’opposer le pragmatisme au légalisme, la sécurité à la liberté. Force est de constater que nous n’avons ni les uns ni les autres, alors que les révélations récentes ont démontré qu’à côté du mépris pour le citoyen et ses droits, l’action publique en matière de gestion de données s’est illustrée par autant de petits couacs que d’échecs cuisants. Ce qui confirme que l’abandon de nos droits au profit de la santé publique est nocif à tout point de vue. Et relève d’une stratégie démagogique des plus vicieuses.

Nous avons alors eu envie de creuser, avons passé des milliers d’heures à fouiller, à interroger, à comparer, à nous challenger, à assembler les pièces du puzzle. Les craintes que l’on pensait relever du fantasme se sont avérées fondées.

Il a fallu ce travail, cette pugnacité et cette rigueur pour y voir clair. C’est un investissement auquel peu peuvent se consacrer. De plus, ceux qui l’ont fait avant nous et qui ont osé questionner publiquement la situation, ont été décrédibilisés, harcelés, isolés. Plutôt que de se résigner à accepter cette situation sur laquelle plus personne ne semble avoir de prise, nous avons choisi de laisser une trace, dans un langage simple et accessible, du problème qui se met en place depuis de nombreuses années et qui s’accentue secrètement et dangereusement.

La situation

Tout commence donc par le point de départ : pour accomplir ses missions, l’Etat collecte auprès des citoyens une série de données à leur sujet : nom, prénom, date de naissance, adresse mais aussi des données plus intrusives comme des données relatives à leurs revenus, à leur état de santé, à leur situation familiale, aux éventuelles condamnations dont ils auraient fait l’objet. Ces données sont utilisées par les services de l’Etat pour nous verser des allocations, permettre à nos enfants d’intégrer l’école ou encore exiger le paiement de nos impôts. Et pour une multitude d’autres raisons.

Ces raisons, appelées « finalités » dans le jargon, sont déterminées par le parlement fédéral, à savoir les députés que nous avons élus pour nous représenter en leur accordant nos votes qui leur ont octroyé un siège au parlement. Ce sont donc ces élus qui sont chargés de définir quelles entités de l’Etat peuvent utiliser quelles données, pour quelles finalités et combien de temps ces données peuvent être conservées. Définir une finalité et les moyens pour y arriver est un choix politique, qui dépend des sensibilités en présence, celles-ci étant le reflet des urnes.

Cet exercice se fait donc au moyen de débats, pendant lesquels nos représentants posent des questions, mettent en balance les intérêts en présence (en ce compris le droit de ne pas faire l’objet d’un usage indu de ses données personnelles), peuvent entendre des exposés d’experts, formuler des contre-propositions et en tout cas s’assurer que les utilisations de nos données personnelles sont nécessaires et proportionnées à l’objectif qu’ils ont défini. Un exemple typique est celui de l’usage de caméras de surveillance : considère-ton que filmer les usagers de l’espace public est nécessaire pour garantir la sécurité de cet espace public ? L’usage des images ne se justifie-t-il que s’il y a lieu d’identifier et rechercher les auteurs de crimes et délits ? Peut-on également les utiliser pour filtrer les accès à des stades de football ? Ou encore pour imposer le paiement de taxes de circulation en agglomération ?

Les usages de nos données par l‘Etat ne doivent donc en principe pas nous faire peur. Ils sont garantis par un processus démocratique à plusieurs niveaux. Ce processus démocratique commence avec l’analyse et le sens critique de nos parlementaires. Ensuite, le résultat de ce travail est consigné dans des normes législatives (des lois, des décrets et des ordonnances, ci-après appelées « loi(s) ») qui doivent détailler clairement quelles données seront utilisées par qui et pour quoi. Ce qui doit permettre aux citoyens de se faire une idée claire de ce à quoi ils peuvent s’attendre en termes d’usage de leurs données par l’Etat. C’est ce qu’on appelle le principe de prévisibilité dans le jargon.

Enfin, deux autres balises viennent renforcer ce processus démocratique. Tout d’abord, avant leur adoption, ces lois doivent faire préalablement l’objet d’avis du Conseil d’Etat et de l’Autorité de protection des données (APD), qui identifient notamment les possibilités d’atteindre le résultat visé par le parlement en évitant ou minimisant les traitements de données intrusifs. Le rédacteur du projet de loi doit s’en inspirer pour améliorer son projet de loi. Et pour terminer, après leur adoption, ces lois peuvent encore faire l’objet d’un recours en annulation devant la Cour constitutionnelle. Les citoyens, associations ou autres intéressés estimant que l’Etat utilise des données personnelles sans raison valable disposent donc d’un moyen de faire corriger la situation. Ce processus contient les garanties démocratiques dont chacune joue un rôle nécessaire et dont l’ensemble est suffisant pour protéger le citoyen contre une utilisation arbitraire ou excessive de ses données par l’Etat.

Ce système mis en place par la Constitution, par les lois, les traités internationaux et le RGPD, semble donc bien bétonné. En théorie.

Et pourtant en pratique…

Premièrement, la plupart des lois et arrêtés pris depuis le début de la pandémie se sont pour la plupart limités à prévoir que des données seraient utilisées, mais souvent sans les énumérer, et plus grave encore, sans nous expliquer pourquoi et par qui. Le flou épuré a été la grande tendance du moment. De plus, beaucoup de ces textes ont été adoptés sans faire l’objet d’un avis du Conseil d’Etat ni de l’APD, qui sont pourtant des jalons indispensables du processus démocratique.

Deuxièmement, plus généralement et depuis plusieurs années, ce processus démocratique est lentement mais sûrement remplacé par un système technocratique, quasi sans visibilité. Par ce système, le partage de nos données n’est plus décidé par nos parlementaires, consigné dans une loi accessible à tous et susceptible de recours. Ce partage est simplement mis en œuvre, sans cadre légal, par des institutions qui se sont autoproclamées aptes à en décider, qui en ont mandaté d’autres pour organiser la tuyauterie, le tout avec la bienveillance de comités et fonctionnaires que l’on a laissés s’installer et qui valident les différentes étapes de cette grande mise en commun de nos données. Ces échanges ne sont plus prévus par des lois, ne sont plus soumis aux avis des autorités de contrôle que sont l’APD et le Conseil d’Etat, et ne sont plus susceptibles de recours. Tous les verrous ont sauté.

Pour faire un parallèle avec un domaine au sujet duquel les risques concrets engendrés par les mêmes dérives apparaissent de façon plus évidente, c’est un peu comme si l’on avait laissé l’exploitant des centrales nucléaires belges s’infiltrer au sein de l’AFCN (Agence fédérale de contrôle nucléaire), y exercer au fur et à mesure une influence de plus en plus importante, pour ensuite s’autoproclamer auteur des règles de sécurité à contrôler par cet organe de contrôle et finalement en nommer les membres parmi ses employés, amis et sous-traitants. Les conséquences de cet accaparement progressif et insidieux du pouvoir par une seule personne, omnipotente, ayant supprimé tous les contre-pouvoirs, du système visant à garantir la sécurité du nucléaire, bien qu’elles n’irradieraient que sur le moyen ou long terme, n’en seraient pas moins effrayantes.

Les architectes de ce système ont organisé la mise à mort de ce système démocratique en plusieurs étapes.

La première étape de cette déchéance organisée a consisté à mettre en place l’outillage nécessaire, la machinerie. Depuis des décennies, des fonctionnaires et mandataires publics ont érigé un système permettant l’échange de données entre les institutions du réseau de la sécurité sociale. Chaque entité dispose de sa ou de ses bases de données et une institution appelée « intégrateur de services » établit la liste de ces bases de données (et des catégories de données qu’elles contiennent) et met en œuvre le réseau de données qui permet les communications de données entre institutions. Ce réseau d’échange de données est configuré par la Smals, la fameuse ASBL qui rafle tous les marchés ICT des organes de l’Etat grâce à la qualification de prestataire « in-house » qu’elle est parvenue à obtenir et qui la place dans une situation concurrentielle idyllique : elle échappe en effet aux règles en matière de paiement de la TVA, de passation de marchés publics (faire appel à elle dispenserait – selon elle – ses clients de suivre ces lourdes et longues procédures) et s’est vu arroger la possibilité de placer des consultants dans les administrations (en bénéficiant d’une exception à l’interdiction générale de la mise à disposition de personnel).

La même architecture a été mise en place dans le domaine de la santé. Et serait en cours de développement pour organiser les transferts de données entre les organes de la justice (tribunaux, prisons, etc.) et de la Sûreté de l’Etat. Le domaine fiscal ne devrait pas longtemps y résister. Et le nombre d’institutions participantes ne fait qu’augmenter, au gré de petites adaptations législatives périodiques. Qui n’inquiètent pas, au vu de la complexité dans laquelle on les habille et des promesses d’économies publiques que l’on fait miroiter.

L’objectif initial mis en avant était en effet fort louable : éviter que les citoyens ne doivent transmettre les mêmes données à de multiples reprises à des services de l’Etat, renvoyer des formulaires similaires, fournir à plusieurs reprises les mêmes attestations. L’Etat y gagnait en temps et en efficacité. Le citoyen aussi. Et il n’y avait a priori aucune raison de s’inquiéter puisque les flux de données entre les différentes administrations n’étaient mis en œuvre que lorsque l’institution destinataire était autorisée par une loi à en faire usage. Sous le contrôle du parlement et des autorités de contrôle.

Ecueil technocratique ou système parallèle sciemment mis en place ?

C’est là que tout a basculé. Vers un système incontrôlé et incontrôlable de libre accès total par toutes les entités de l’Etat, à toutes les données des citoyens (y compris les plus intimes), sans nécessité de fournir la moindre justification. Et sans contrôle de la réutilisation de ces données. L’open bar.

Comment tout cela s’est mis en place ? Plusieurs opérations ont mené à la déroute actuelle :

1. Comme indiqué, tout a commencé par la création de la plateforme e-health et de la banque carrefour de la Sécurité sociale (BCSS) et la mise en place des « intégrateurs de services ». Ces deux réseaux reliant les institutions respectivement du domaine de la santé et de la Sécurité sociale visaient à permettre (techniquement) l’échange de données entre ces administrations. Echanges mis en œuvre par les « intégrateurs de services » également créés à cet effet.

2. S’en est suivie la mise en place de bases de données massives centralisées (venant s’ajouter à celles détenues par chacune des autorités participant aux réseaux e-health et BCSS : Oasis, Cobhra, etc.) et gérées par les intégrateurs de services.

3. Une étape importante de la mise en place de ce système fut la création du numéro de Registre national – initialement pour permettre l’accès aux données du Registre national uniquement – et l’extension de son usage afin de faciliter l’échange et le recoupement des données issues des réseaux de la santé, de la Sécurité sociale et des bases de données fiscales, en faisant ainsi de ce numéro un identifiant unique généralisé.

4. La promulgation de la loi « only-once », l’invention du principe de la « collecte unique » des données et la création du système des « sources authentiques » ont également été des pierres angulaires du système. Ou plutôt est-ce le cas du détournement total de leur objet qui a été organisé : alors que l’idée qui présidait à leur mise en place était « si une autorité est autorisée par une loi à utiliser des données, elle doit les collecter auprès de leur source authentique, ce qui permet de s’assurer qu’elles sont correctes », les partisans de l’échange généralisé et incontrôlé de données l’ont appliqué comme s’il enseignait que « si une autorité publique souhaite capturer des données auprès d’une autre, quelle qu’en soit la raison, elle peut les demander et les recevoir moyennant simple autorisation du CSI » (qui n’a semble-t-il jamais refusé une telle autorisation).

5. La création du Comité de sécurité de l’information (« CSI ») via une loi contraire au RGPD et à la constitution votée au forceps la veille des vacances parlementaires, contre l’avis de tous les spécialistes, est une pièce majeure du système : ce comité remplace véritablement le parlement en « autorisant » des transferts et des réutilisations de données entre administrations, ses délibérations ne sont pas soumises à l’avis préalable de l’APD ni du Conseil d’Etat, elles ne sont pas publiées au Moniteur belge, sont difficiles à trouver, semblent même parfois disparaître, et ne sont pas soumises à un recours effectif en annulation. Il est composé de gens (selon une révélation récente du journal Le Soir, seuls quatre de ses seize membres seraient conscients d’en faire partie et seraient invités à prendre part aux décisions, proposées par un tiers qui lui, n’est pas censé y siéger) qui ne sont pas élus par les citoyens et qui siègent généralement dans les entités de la santé et de la Sécurité sociale qu’il sert. La prérogative du parlement de définir ce qui est acceptable en termes d’utilisations de nos données par l’Etat a été usurpée. Ce sont en somme ceux qui veulent utiliser les données qui décident si elles peuvent l’être.

6. Ces étapes se sont accompagnées d’un élargissement continu des réseaux de la santé et de la Sécurité sociale et d’une duplication du modèle aux réseaux de la justice, reliant ainsi les (données des) tribunaux, prisons, etc.

7. Enfin, le tout a été couronné par la nomination, pour siéger auprès de l’organe de l’APD censé contrôler la régularité des échanges de données (en principes consignés dans des lois), de quatre membres du secteur public dont l’un ayant conçu le système précité, dirigeant l’entité l’ayant mis en œuvre (Smals) et étant le dirigeant des entités qui écrivent les délibérations du CSI (e-health et BCSS). Et ce, alors que la loi créant l’APD prévoit une règle claire d’incompatibilité légale aux termes de laquelle une personne détenant un mandat public (et a fortiori plus de 15) ne peut faire partie de cet organe collégial.

8. Le projet Putting Data at the Center (« PDC » ou encore « Big Data Analytics », tel qu’il aurait été rebaptisé) révélé récemment par Le Soir apparaît comme étant le dernier maillon nécessaire de la chaîne, à savoir un mécanisme facilitant les échanges de données, via une connexion technique avec une seule partie (BOSA). Il pourrait constituer la dernière étape nécessaire au système de généralisation de l’échange massif et illimité de données personnelles entre autorités en dehors de toute intervention du parlement, de l’APD, du Conseil d’Etat et de la Cour constitutionnelle.

Ce système permet à toutes les autorités de l’Etat de prendre possession de données qui ne leur ont pas été confiées par les citoyens et de les utiliser pour des finalités dont la loi/le parlement n’a pas décidé de l’acceptabilité. Il peut être très utile, tant pour l’Etat que pour le citoyen, qu’un organe de l’Etat « récupère » des données captées par un autre (pour éviter notamment de devoir les redemander au citoyen ou pour pro-activement lui allouer une allocation à laquelle il aurait droit). Mais ce système permet aussi à ces autorités de faire des recoupements, du datamining, du datamatching illimité, pour établir des profils-type, faire du profilage et surveiller les citoyens. Ni la surveillance ni même le profilage ne sont en soit par principe interdits mais ils ne sont permis que si le parlement a jugé, au cas par cas, qu’ils étaient acceptables (par telle autorité, avec quelles données, pour atteindre tel objectif) et moyennant répercussion dans une loi, accessible aux citoyens car publiée au Moniteur belge.

Les pièces de ce puzzle sont nombreuses, on le voit. Eparpillées par ailleurs dans des articles – souvent cryptiques – de textes de lois édictés à des époques et dans des contextes différents. A tel point que personne n’a rien vu venir. Et que peu sont aptes à reconstituer le puzzle. Chacun de ces morceaux est par ailleurs justifié par une prétendue efficacité, un souci de pragmatisme, la volonté de confier les décisions aux « hommes du terrain », aux « experts » qui ne sont en réalité rien d’autre que ceux qui prônent l’accès illimité aux données sans aucune justification parce qu’il arrange leur administration. Le flou est total. Compromettant une fois pour toutes toute velléité à reconstituer un schéma complet des échanges de données. Et éventuellement de le contester.

Face à cette dérive et à sa technicité, seul un acteur aurait pu agir. Aurait dû agir. En dénonçant l’illégalité du système, et en le faisant tomber, en faisant usage des rutilants pouvoirs d’investigation et de sanction que lui confère le RGPD. Démontrant ainsi son indépendance face au pouvoir exécutif. C’est ce que le citoyen était en droit d’attendre de l’autorité dont la mission est de surveiller et garantir le respect du droit à la protection des données en Belgique : l’APD. En effet, le RGPD représentait une menace pour le système. Car une nouvelle génération de dirigeants allait devoir être mise en place. Une promesse de rupture par rapport à leurs prédécesseurs, notamment en matière de fermeté vis-à-vis du pouvoir politique.

C’était la dernière pièce du puzzle, négocier le virage dangereux qu’aurait pu représenter une APD intègre et indépendante. C’est avec cette menace en tête qu’ont été nommés les directeurs de l’APD : il les fallait redevables, dociles et prêts à détourner les yeux pour ne pas voir. Une majorité d’entre eux suffirait, les autres confirmeront l’adage des dégoûtés et des dégoûtants. Ce qui explique le fiasco total de cette nouvelle autorité.

En conclusion

Le processus démocratique permettant la circulation de données entre services de l’Etat qui avait été mis en place initialement a été détourné petit à petit, mettant le parlement hors-jeu, empêchant que ces réutilisations de données soient prévues par des lois sur lesquelles l’APD et le Conseil d’Etat seraient consultés, privant les citoyens d’informations et par conséquent les soumettant à des décisions dont ils ne connaissent ni l’origine ni la justification et contre lesquelles aucun recours de leur part n’est possible. Si nous n’avons pas encore l’impression de vivre dans Le procès de Kafka, tout est en tout cas mis en place pour que cela soit possible.

La promesse politique d’examiner la situation, de rétablir la confiance, semble bien dérisoire face à un tel abandon, alimenté par l’idée démagogique selon laquelle pour protéger la santé, il faut accepter la mise en danger de la démocratie.

Il est urgent que le parlement, qui nous représente, réagisse et exerce les prérogatives pour lesquelles nous l’avons élu. Pour cela, le parlement doit abroger la loi créant le Comité pour la sécurité de l’information. Il doit mettre fin aux mandats illégaux à l’APD. Il doit faire établir une liste de tous les traitements de données opérés par ou pour le compte de l’Etat, s’assurer que pour chacun, il existe une base légale, et y palier le cas échéant. C’est un travail dont l’étendue est à la mesure de l’abandon qu’a subi la protection des données ces dernières années. Il n’est que normal que le parlement aujourd’hui répare son indifférence et consacre le courage politique, considérable, qu’il faudra pour rétablir la démocratie, condition nécessaire au retour de la confiance que le gouvernement appelle de ses vœux.