La protection de données mérite une approche commune et multidisciplinaire

Ces dernières semaines, il a été régulièrement fait état dans la presse de tensions au sein de l’Autorité de protection de données (APD). Certes, les avis peuvent diverger, mais cela ne devrait pas être le cas pour les principes de base et la vision. L’APD doit veiller à ce que les citoyens puissent avoir confiance à juste titre dans le traitement de leurs données à caractère personnel par toute instance, que ce soit dans le secteur public ou dans le secteur privé.

Les technologies modernes peuvent offrir une valeur ajoutée et des avantages considérables, mais elles doivent être mises en œuvre avec les garanties nécessaires afin d’assurer le droit fondamental de protection des données. L’APD s’est vu confier la mission importante d’y contribuer et d’y veiller. Elle travaille de manière préventive en fournissant des avis et recommandations sur la réglementation en projet ou en réalisant des analyses d’impact relatives à la protection des données. Elle a une mission de contrôle à travers des inspections et au besoin de répression par l’imposition de sanctions.

Il est important que l’Autorité de protection des données puisse elle-même, comme son nom l’indique, jouir d’autorité. Les divisions internes sont néfastes à cet égard. Les citoyens et les entreprises doivent pouvoir compter sur une unité de vision tous organes et services confondus. Un manque de coordination dans les points de vue mine la sécurité juridique et l’impact de l’APD.

Les conventions internationales et la constitution belge prévoient une série de droits fondamentaux. Outre le droit à la protection des données, il y a le droit à un procès équitable, le droit à la protection sociale, le droit à des soins de santé de qualité, … Les citoyens attendent de l’APD qu’elle assure leur droit à la protection de données d’une manière qui respecte également leurs autres droits fondamentaux. Le Règlement général sur la protection des données (RGPD) fournit à cet égard un cadre solide. La gestion des risques et la protection des données dès la conception sont des notions clés.

La gestion des risques consiste à vérifier préalablement les risques potentiels d’un traitement de données à caractère personnel, à déterminer la façon d’éviter ces risques et, s’ils surviennent, à les limiter au maximum. Il s’agit d’un exercice réfléchi qui veille à maximaliser la sécurité de l’information et la protection des données, sans compromettre inutilement la valeur ajoutée du traitement de données. Il s’agit d’une attitude de base qui requiert une approche multidisciplinaire. Il existe en effet plusieurs manières d’éviter ou de gérer les risques : au niveau organisationnel, informatique, juridique, … Une approche juridique trop unilatérale risque de miner de manière inutile la valeur ajoutée potentielle des technologies modernes.

La protection des données dès la conception signifie que les mesures de protection sont prévues dès le début dans les systèmes ICT et sont donc ancrées d’emblée dans l’architecture. Il ne s’agit pas d’un ajout cosmétique par la suite.

Voici quelques exemples concrets. Le droit à une protection sociale effective et efficace signifie qu’une personne handicapée ou un bénéficiaire du revenu d’intégration sociale bénéficie automatiquement du tarif social pour le gaz, l’électricité, l’eau et les transports publics. Ces personnes vulnérables ne doivent donc pas « mendier » auprès des diverses instances pour obtenir leur droit et ne doivent pas chaque fois fournir les mêmes attestations papier. Les instances d’octroi des tarifs sociaux n’ont, de leur côté, pas besoin d’obtenir d’autres informations que le simple fait que la situation de la personne donne droit au tarif social. Elles ne doivent pas savoir qu’il s’agit d’un revenu d’intégration sociale ou qu’il s’agit d’un handicap et encore moins de quel handicap il s’agit.

Le droit à des soins de santé de qualité signifie que les informations importantes sur les examens antérieurs ou les allergies sont disponibles pour tous les prestataires de soins qui ont une relation de soins avec l’intéressé. Mais ces mêmes informations ne peuvent pas être accessibles à des médecins de compagnies d’assurances ou à d’autres médecins qui n’ont pas de relation de soins avec l’intéressé. Les résultats de tests Covid-19 doivent être accessibles de manière facile et rapide pour le patient et pour les médecins qui assurent la prise en charge du patient ainsi que la lutte contre les foyers de contamination, mais ils ne peuvent pas être accessibles à l’employeur par exemple.

Pour trouver le juste équilibre entre les droits fondamentaux, sur la base d’une gestion des risques adéquate et d’une protection des données dès la conception, il est nécessaire d’adopter une approche multidisciplinaire et une pensée latérale, dans un esprit ouvert. Il convient d’éviter les préjudices éventuels sans compromettre inutilement les avantages.

Tous les accords gouvernementaux de ce pays soulignent l’importance sociale et économique de la relance, de la simplification et de la numérisation. Ces objectifs peuvent être atteints de manière effective et efficace tout en respectant le droit fondamental de protection des données. Ceci requiert une APD forte et unanime, qui nous indique, sur la base de connaissances solides et interdisciplinaires, comment développer des systèmes d’information à la fois sûrs et capables de soutenir les objectifs visés.

Moi-même, je promeus systématiquement ces principes depuis plus de trente ans. J’aide à les mettre en pratique dans mon travail quotidien en tant que gestionnaire de la Banque Carrefour de la sécurité sociale (BCSS) et de la Plate-forme eHealth et en tant que membre externe du Centre d’expertise de l’APD. La BCSS et la Plate-forme eHealth constituent des instruments par excellence de la protection des données dès la conception. Elles sont pilotées et contrôlées par des organes de gestion composés de représentants des personnes dont les données sont traitées et par un Comité de sécurité de l’information désigné par le Parlement. Les résultats ont été reconnus à maintes reprises par des instances internationales, allant des Nations Unies à l’Union européenne.

J’espère sincèrement que tous les intéressés de l’Autorité de protection des données trouvent le courage d’agir de concert pour se concentrer sur le rôle intrinsèque de l’APD, dans un esprit de collégialité, et, surtout, dans l’intérêt du citoyen.