L'Autorité de protection des données (APD) a elle-même communiqué jeudi avoir émis des réserves sur deux avant-projets de texte qui lui ont été soumis en urgence par le ministre Philippe De Backer, des textes qui seraient amenés à encadrer légalement au niveau fédéral l'utilisation d'applications de "dépistage de contacts" ainsi que la création d'une banque de données de santé de citoyens chez Sciensano. Les textes doivent être étoffés et précisés, pour exclure les possibles dérives, et pour démontrer l'aspect nécessaire et proportionné de tels outils, estime l'APD.
L'Autorité, organe de contrôle indépendant, revient en fait via communiqué sur deux avis qu'elle a respectivement publiés mardi et mercredi. Il s'agissait, dans les deux cas, d'un avant-projet d'arrêté royal sur lequel l'APD a été consultée en extrême urgence par le ministre fédéral en charge de la Protection de la vie privée, l'Open Vld Philippe De Backer.
Le premier avis, publié mardi, est celui qui avait mis la puce à l'oreille de certains députés et les avait poussés à interroger le cabinet du ministre en commission Justice de la Chambre, mercredi. Plusieurs députés ont regretté à cette occasion ne pas avoir été mis au courant de l'existence de l'avant-projet, qui concerne l'utilisation d'applications numériques pour "tracer" les contacts de personnes contaminées dans le cadre de la lutte contre la pandémie de Covid-19.
Si ce sont bien les Régions qui sont compétentes et responsables de ce dépistage de contacts, c'est au fédéral qu'il revient de créer le cadre juridique nécessaire pour le développement et l'utilisation éventuels d'applications numériques servant cet objectif. L'avant-projet en question vise à créer ce cadre.
Le second avis concerne quant à lui un avant-projet de création d'une banque de données auprès de l'institut belge de santé publique Sciensano. Il s'agirait de recueillir des données de santé des patients, ainsi que des données relatives aux personnes avec lesquelles ceux-ci sont entrés en contact. Le tout pour pouvoir contacter les personnes potentiellement contaminées, ainsi qu'en vue d'études scientifiques et statistiques (après anonymisation des données). Ce texte est donc lié au traçage "manuel" de contacts via les futurs call centers des Régions.
Sur les deux textes, l'Autorité de protection des données émet des réserves, qui peuvent être résumées en deux points, indique-t-elle. Premièrement, "il faut démontrer la nécessité et la proportionnalité des applications de traçage et de la création d'une base de données auprès de Sciensano", précise-t-elle via communiqué. Les ingérences dans la vie privée des citoyens que supposent les deux avant-projets ne sont justifiables qu'à ce prix, et uniquement s'il n'y a pas de moyens moins intrusifs pour atteindre un même objectif, explique l'APD en substance.
Par ailleurs, de nombreux éléments des textes doivent être précisés, détaillés. Cela est nécessaire pour éviter toute dérive possible, note l'APD. Concernant la banque de données Sciensano, elle demande entre autres de préciser "la provenance des données collectées, les tiers à qui ces données médicales pourront être transmises et les usages qu'ils pourront en faire". Le texte doit aussi prévoir "que les données récoltées ne pourront être réutilisées à d'autres fins", observe l'organe chargé de veiller à la protection des données à caractère personnel