Lourd silence de l’APD depuis la demande de suspension du CST après la découverte de failles importantes au niveau de la protection des données.

Une action en justice introduite vendredi 22 octobre, un appel à l’APD, l’Autorité de Protection des Données… Et, depuis, un lourd silence.

L’ASBL Charta21 -créée par Hubert Petre (Legal Counsel, Philipp Morris International, Jean-Pierre Heymans (expert en protection des données et en cyber-sécurité) et le professeur Jacques Folon (spécialiste des questions relatives au GDPR)- a introduit une demande de suspension du CST (Covid Safe Ticket) en référé, donc en urgence, devant le Tribunal de première instance de Bruxelles.

Silence radio

L’action, menée par les avocats Matthieu Aladenise, Audrey Lackner et Audrey Despontin, vise à mettre fin à de multiples infractions au GDPR, le règlement général sur la protection des données. Notamment, à prévenir une fuite de données personnelles de santé des personnes vaccinées.

De son côté, l’APD s’est contentée de mentionner la faille. Soit la possibilité d’accéder, via le CovidScan, à des données personnelles confidentielles et relevant du secret médical. Le risque, reconnait-elle, menace plusieurs milliers de personnes.

Depuis, silence radio. Or, en reconnaissant la faille, l’APD se devait de réagir. En clair, activer l’Article 33 du GDPR. Soit l’obligation pour l’opérateur, en l’occurrence eHealth, de notifier la violation de données « dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance. » Or, rien n’a été fait.

Une violation inédite

Dans son action, Charta21 vise plus la forme du CST que le fond.  Les inquiétudes, en effet, portent davantage sur les failles de sécurité digitale. C’est clairement le logiciel de contrôle des codes QR CovidScan -fruit d’une collaboration entre les autorités fédérales et régionales, la plateforme eHealth et Sciensano- qui est ici en cause. 

Ce silence est d’autant plus lourd qu’il est ci question de vie privée, de secret médical. Et, plus généralement, de protection de données personnelles. Si, selon les avocats de l’association, les failles, dûment exposées au tribunal étaient avérées, il y a violation -de façon inédite- de la protection de la vie privée des citoyens. De fait, il ne peut être toléré qu’un tiers non autorisé -qu’il soit simple citoyen, entreprise, association ou entité publique- soit en mesure de contrôler si les citoyens sont vaccinés, ont été contaminés, ont vu leur certificat suspendu, etc.

Pour Charta21, l’affaire va plus loin. Avant même qu’il ne soit question d’action en justice, l’ASBL s’interrogeait sur le rôle de l’APD, qui a pourtant indiqué « prendre l’affaire très au sérieux ». Elle aurait dû mener, dans l’urgence, une enquête publique. « Si tel est le cas, l’APD pourrait parfaitement agir en référé à nos côtés pour respecter les principes fondamentaux du respect du contradictoire », rapportent les conseils de Charta21. 

APD, noyautage et muselage

Indirectement, l’action en cours permet de poser à nouveau la question de l’indépendance de l’APD. En juin dernier, rappelons-le, deux hauts responsables d’administration ont été poussé vers la sortie, un troisième a suivi. Dans ce contexte, l’omniprésence de Frank Robben, le patron des institutions gérant les échanges de données de santé de sécurité sociale, a été maintes fois citée. Administrateur général de la banque Carrefour de la sécurité sociale, président du conseil d’administration de la Smals, administrateur général de la plateforme eHealth… c’est beaucoup ! En se retrouvant à tous les postes, le dirigeant est à la fois « concepteur, réalisateur, législateur et contrôleur », comme le mentionnait déjà Le Soir à la mi-février. Bref, une seule et même personne au coeur du processus. Dans le propos de son action, sur son site web, Charta21 n’hésite pas à parler de « noyautage » et de « muselage » à propos de l’APD…

L’actualité de ces derniers jours donne raison aux plaignants. En effet, depuis le Codeco du mardi 26 octobre, la loi Pandémie a été activée. Elle rend inopérant le décret régional. Elle permet, comme l’a demandé le ministre-président, Elio Di Rupo, de ne pas solliciter l’avis de l’APD…

L’APD est-elle réellement muselée ? Quel est encore son poids ? Et quelle est, aujourd’hui, sa légitimité ?

Alain de Fooz