Quelques défis de la protection des données
Introduction
J’ai démissionné de ma fonction de membre externe du Centre de connaissances de l’Autorité de Protection des Données (ci-après dénommée APD) parce que je ne voulais pas que la Belgique soit citée à comparaître devant la Cour de Justice européenne en raison de ma position au sein de l’APD pour cause d’un prétendu manque d’indépendance de l’APD. Bien entendu, le fonctionnement indépendant de l’APD est crucial. Personnellement, je suis et reste d’avis que ma fonction à l’APD ne posait aucun problème d’indépendance. Cependant, le climat public, qui a d’ailleurs été en partie initié par certains (désormais anciens) membres de la direction de l’APD avec des déclarations incorrectes, a rendu impossible la poursuite d’un débat serein.
Je voudrais néanmoins attirer l’attention sur le fond du problème et sur le débat fondamental qui n’est toujours pas mené. J’espère que ma démission en tant que membre externe du Centre de connaissances permettra désormais de mener ce débat, au sein du Parlement belge et à la Commission européenne. En vertu du règlement général sur la protection des données, l’APD a, en effet, pour mission de veiller au respect de tous les droits fondamentaux repris dans la Charte des droits fondamentaux de l’Union européenne et la Constitution belge, et non seulement du droit à la protection des données.
Au titre de ma fonction auprès du Centre de connaissances, j’ai toujours essayé de contribuer à cet important objectif tout en faisant preuve d’une grande indépendance, et avec une expertise multidisciplinaire et un esprit créatif. Certains membres du Comité de direction de l’Autorité de Protection des Données, certaines organisations, certains journalistes et certains chercheurs semblent en particulier s’intéresser au seul droit fondamental à la protection des données, auquel ils veulent apparemment subordonner les autres droits fondamentaux.
Je pense qu’il est de mon devoir de mettre en garde contre le potentiel grave risque d’érosion des autres droits fondamentaux tout aussi importants, tels que le droit à la protection sociale, le droit aux soins de santé, le droit à une bonne administration ou le droit à un procès équitable.
J’espère que le Parlement n’évitera pas ce débat fondamental lors de l’examen du projet de loi réformant l’Autorité de Protection des Données et au moment de désignation des nouveaux membres.
Après tout, derrière le combat de boue (souvent mensonger) qui s’est abattu sur ma personne, il y a un risque, intentionnel ou non, de démanteler d’importantes réalisations sociétales.
Dans le texte qui suit, j’essaierai de mettre en lumière ce problème et de proposer des méthodes pour le résoudre.
Un exercice d’équilibre permanent
L’article 1er du Règlement général sur la protection des données (RGPD ou GDPR en anglais) prévoit ce qui suit:
- Le présent règlement établit des règles relatives à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et des règles relatives à la libre circulation de ces données.
- Le présent règlement protège les libertés et droits fondamentaux des personnes physiques, et en particulier leur droit à la protection des données à caractère personnel.
- La libre circulation des données à caractère personnel au sein de l’Union n’est ni limitée ni interdite pour des motifs liés à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
Le RGPD vise donc à garantir les droits fondamentaux, en particulier le droit à la protection des données à caractère personnel, et en même temps à garantir la libre circulation de données à caractère personnel sur tout le territoire de l’Union européenne et le traitement des données nécessaires à cet effet. Le RGPD poursuit 4 axes d’équilibre.
Équilibre 1: éviter des risques au niveau de la protection des données et utiliser en même temps la valeur ajoutée du traitement des données
Le RGPD offre un cadre permettant d’éviter des risques au niveau de la protection des données lorsque des données à caractère personnel sont traitées pour offrir une valeur ajoutée aux citoyens, aux entreprises et aux services publics, d’une manière effective et efficace.
Tout progrès et toute innovation sont le résultat de la recherche de valeur ajoutée et de la prévention de risques. La mise en balance de la valeur ajoutée et des risques nécessite une approche rationnelle. En effet, les possibilités d’acquérir de la valeur ajoutée doivent être nettement supérieures aux risques. En renforçant la sécurité, il est possible d’atteindre un bilan positif, mais la sécurité implique éventuellement aussi des restrictions qui sont susceptibles de porter atteinte à la valeur ajoutée. Les efforts au niveau de la protection des données et de la sécurité de l’information doivent dès lors aussi poursuivre un équilibre raisonnable entre l’atteinte de la valeur ajoutée et la prévention de risques découlant d’actions innovatrices. La sécurité absolue ne peut pas être proposée comme un idéal à poursuivre. Dans la négative, toute innovation risque d’être tuée dans l’œuf. Cela requiert une solide maîtrise des risques.
Par analogie: bien que la circulation automobile fasse chaque année des victimes mortelles de la route, personne ne demande d’interdire définitivement l’usage de la voiture. Toutes les parties prenantes contribuent depuis de nombreuses années déjà à l’élaboration de mesures techniques, à une culture de la sécurité et au respect du code de la route. Ceci est aussi nécessaire pour un traitement sécurisé de données personnelles.
Exemples
| Oui | Mais |
|---|---|
| Celui qui a droit à une allocation aux personnes handicapées ou à un revenu d’intégration sociale doit pouvoir bénéficier automatiquement du tarif social pour l’eau, le gaz et l’électricité | Les fournisseurs d’eau, de gaz ou d’électricité ne peuvent pas connaître les détails de la situation sociale concrète ou du handicap qui donne droit au tarif social. |
| Le médecin généraliste d’un patient ou le spécialiste vers lequel un patient a été renvoyé doivent aisément avoir accès aux données de santé pertinentes du patient afin de pouvoir lui garantir des soins de qualité et d’éviter des examens multiples inutiles | Les prestataires de soins qui n’ont pas de relations de soins avec un patient ne peuvent pas avoir accès aux données de ce patient |
Équilibre 2: respect de tous les droits fondamentaux
Plusieurs droits fondamentaux ont été reconnus dans des traités internationaux et dans la Constitution belge. Citons le droit à la protection des données à caractère personnel, mais aussi le droit à la protection sociale, le droit à des soins de santé de qualité, le droit à un procès équitable, le droit à l’entrepreneuriat, …
Il n’y a pas de hiérarchie entre les droits fondamentaux. Dans les situations où ces droits se contredisent, il y a donc lieu de trouver un juste équilibre. Cet équilibre doit se trouver de façon pragmatique et proportionnelle, avec une solide connaissance du domaine d’application, et donc de manière multidisciplinaire. Le traitement et la protection de données à caractère personnel sécurisés doivent être garantis, mais ne peuvent pas tout simplement primer sur d’autres droits fondamentaux.
Exemples
| Oui | Mais |
|---|---|
| Une protection sociale solide et une prévention de la pauvreté requièrent des informations concernant les personnes qui sont au chômage, sont malades, ... , de sorte que des allocations leur soient allouées | Les institutions de sécurité sociale ne peuvent pas avoir connaissance de données à caractère personnel qui ne sont pas pertinentes pour le calcul des droits sociaux |
| Tout médecin qui prescrit un médicament doit pouvoir vérifier que celui-ci ne constitue pas un risque pour le patient en question (contre-indications) | Seules les contre-indications pour le médicament en question doivent s’afficher. |
Équilibre 3: le traitement de données à caractère personnel doit être transparent et prévisible mais sa réglementation doit aussi soutenir les évolutions en fonction de nouvelles connaissances (scientifiques) ou de nouveaux besoins sociaux
Tout traitement de données à caractère personnel doit viser une finalité légitime, qui a été déterminée au préalable, qui est transparente et prévisible pour les personnes dont les données sont traitées. Les personnes concernées doivent avoir la certitude que leurs données à caractère personnel ne sont pas traitées à d’autres fins qui seraient incompatibles avec la finalité pour laquelle elles ont été collectées.
Le cadre ne peut donc pas être modifié sans plus. Par ailleurs, il doit être possible de traiter les données à caractère personnel dans le cadre des finalités (compatibles) en fonction de l’évolution des connaissances scientifiques, des développements technologiques ou des besoins sociaux. La lutte contre la pandémie de la COVID-19 a souvent douloureusement montré combien il est difficile de prendre des mesures rapides et énergiques lorsque la réglementation est trop détaillée au niveau opérationnel et est trop lente à modifier. En temps normal également, il n’est pas souhaitable que la réglementation soit aussi détaillée qu’elle entrave les évolutions souhaitées.
Il est préférable d’opérer une distinction entre, d’une part, des objectifs intrinsèques et de protection des données, qui sont définies dans la législation, et, d’autre part, la manière selon laquelle ces objectifs sont atteints. Lors du choix de la manière dont les objectifs sont réalisés, il faut accorder une liberté suffisante pour faire face, de manière optimale, aux besoins concrets et aux risques de chaque environnement. La responsabilisation des responsables du traitement s’avère dans cette situation plus effective et efficace qu’une sur-régulation introduite par le haut.
Exemples
| Oui | Mais |
|---|---|
| La législation détermine avec précision les règles de calcul des cotisations de sécurité sociale | Le mode de collecte concret des informations pertinentes auprès des employeurs, l’organisation du traitement des données et les technologies utilisées ne doivent pas être ancrés en détail dans la législation formelle et doivent pouvoir évoluer |
Équilibre 4: la responsabilisation du responsable du traitement doit s’accompagner d’une sécurité juridique raisonnable permettant de promouvoir le développement social et économique
Celui qui traite des données à caractère personnel est responsable de la prise de l’ensemble des mesures nécessaires à la protection des données. Mais quel niveau de protection est suffisant? Quelle mesure est suffisamment bonne?
Les défis technologies évoluent en permanence. Des connaissances très spécialisées s’avèrent souvent nécessaires. À cet égard, les moyens de personnes individuelles et de PME ne sont pas comparables avec celles des géants de l’internet. Des investissements colossaux en sécurité sont susceptibles d’anéantir la faisabilité économique de nouvelles activités et de nouveaux modèles commerciaux. Ainsi, l’absence de règles de jeux réalistes, concrètes, axées sur la pratique peut donner lieu à une dérive dans les deux sens: la grande responsabilité peut avoir un effet paralysant ou justement donner carte blanche à l’opportunisme contrairement à toutes les règles du jeu.
C’est pourquoi le traitement tel que l’échange de données à caractère personnel avec des tiers doit avoir lieu par le biais de plateformes offrant une sécurité juridique suffisante, auxquelles le responsable du traitement des données peut, à juste titre, faire confiance, sans devoir être lui-même expert dans tous les domaines techniques des TIC. Sans quoi, le principe de la responsabilité entre en conflit avec le principe de la sécurité juridique et devient un frein inutile au développement économique et social.
Une proposition récente du Parlement européen et du Conseil sur la gouvernance européenne des données reconnaît explicitement dans son article 7 la nécessité de la composition multidisciplinaire des organes tels le Comité de sécurité de l’information belge, qui offrent un appui « consistant à fournir une assistance technique en mettant à disposition un environnement de traitement sécurisé pour donner accès à la réutilisation de donnée et à fournir un soutien technique dans l’application de techniques éprouvées garantissant le traitement des données d’une manière qui préserve la confidentialité des informations contenues dans les données dont la réutilisation est autorisée ».
Exemples
| Oui | Mais |
|---|---|
| Les prestataires de soins doivent échanger des données à caractère personnel relatives aux patients, par la voie électronique, avec un chiffrement sécurisé de bout en bout | Les prestataires de soins individuels ne doivent pas être en mesure de juger de la longueur appropriée d'une clé de chiffrement. Ils peuvent faire confiance à une eHealthBox dotée d'un solide chiffrement intégré de bout en bout, approuvée par le Comité de sécurité de l’information |
Méthodes et instruments
Le Règlement général sur la protection des données offre des méthodes et instruments permettant d’atteindre ces équilibres. En outre, la transparence, une approche multidisciplinaire et une gouvernance bien conçue offrant des garanties systèmes sont très utiles.
Gestion des risques et analyse d’impact relative à la protection des données (AIPD)
La gestion des risques consiste à effectuer en permanence des analyses et à prendre les mesures nécessaires pour maîtriser les risques. Dans une analyse des risques, les menaces sont identifiées et répertoriées. Par menace, le risque ou la probabilité de sa survenance est déterminé et il est ensuite calculé quels seraient les dommages si la menace se produit réellement.
Sur la base d’une analyse des risques, il est possible de prendre les mesures suivantes:
- prévention primaire: empêcher quelque chose de se produire ou réduire le risque que cette chose se produise;
- détection: détecter les dommages (potentiels) lorsqu’une menace se produit;
- prévention secondaire: limiter les dégâts lorsqu’une menace se produit;
- réparation: instaurer des mesures qui sont activées lorsque quelque chose se produit, afin d’inverser (partiellement) l’effet;
- acceptation: ne pas prendre de mesures (supplémentaires), accepter le risque de l’impact éventuel d’une menace.
L’objectif d’une analyse des risques est d’indiquer comment les risques peuvent être maîtrisés ou réduits à un niveau acceptable. Outre l’analyse des risques, une analyse coûts-bénéfices est également réalisée.
Le Règlement général sur la protection des données oblige, par ailleurs, tout responsable du traitement, avant de traiter des données à caractère personnel, à vérifier si le traitement présente ou non un risque significatif pour les libertés et les droits des personnes concernées. Dans l’affirmative, il est tenu de procéder à une analyse d’impact relative à la protection des données (AIPD) avant de commencer le traitement, dont le résultat peut également conduire à la conclusion qu’une consultation préalable de l’autorité de protection des données est nécessaire.
La meilleure prévention, à savoir la prévention primaire, détruit les preuves de son efficacité. En effet, elle ne laisse pas les dommages se produire. Au fil du temps, cela crée une fausse impression d’inutilité, suivie d’un affaiblissement de l’attention et des efforts. C’est pourquoi une motivation et une sensibilisation soutenues sont indispensables. Il y a lieu de faire face, en permanence et de manière très consciente, au déclin presque inévitable de l’effort de prévention. Cela nécessite une amélioration constante de l’éthique de la sécurité. Il s’agit peut-être d’une des tâches les plus difficiles.
Protection des données dès la conception et par défaut
La protection des données et la sécurité de l’information ne sont pas des produits techniques que des experts peuvent intégrer dans un système d’information. Elles résultent de l’exécution minutieuse de la tâche quotidienne de chaque personne impliquée dans le traitement des données. Un expert ne peut que donner des conseils, indiquer des outils, superviser, motiver, attirer l’attention, être les yeux et les oreilles en ce qui concerne les risques auxquels les traitements de données sont exposés. L’organisation sociale de la protection est une condition sine qua non de tout système de sécurité. Même les meilleurs outils technologiques ne pourront jamais remplacer le contrôle social. Ils peuvent sans doute améliorer le niveau de sécurité, mais en définitive, la sécurité repose sur une organisation efficace.
Le Règlement général sur la protection des données encourage les responsables du traitement à mettre en œuvre les mesures organisationnelles et techniques nécessaires pour garantir la protection des données dès le début, au stade le plus précoce de la conception des activités de traitement (« protection des données dès la conception »). Les responsables du traitement doivent, par défaut, veiller à ce que les données à caractère personnel soient traitées avec le niveau de protection approprié (par exemple, seules les données nécessaires sont traitées, la conservation est limitée dans le temps, l’accès aux données est limité), afin que les données à caractère personnel ne soient pas accessibles, par défaut, à un nombre illimité de personnes (« protection des données par défaut »).
Un système d’information est aussi sûr que son maillon le plus faible. C’est pourquoi un ensemble homogène de mesures structurelles, organisationnelles, techniques sur le plan des TIC et juridiques est nécessaire. En l’absence de ces mesures, les efforts sont vains. La problématique de la sécurité doit dès lors être abordée de manière structurée et comprend principalement les phases suivantes :
- l’inventorisation des situations actuelles en matière de sécurité;
- la détermination des priorités dans une politique de sécurité;
- la traduction concrète de la politique de sécurité en des mesures qui sont définies dans un plan de sécurité;
- la mise en œuvre des mesures prévues ;
- une évaluation continue de la nécessité et du respect des mesures existantes.
Transparence
Le débat sur le juste équilibre entre la protection des données et les autres droits fondamentaux est parfois émotionnel. Les différences de perception entre groupes d’utilisateurs jouent certainement un rôle à cet égard. Mais le manque d’informations largement accessibles, fiables et facilement compréhensibles concernant ce qui est réellement fait avec quelles données et par qui constitue sans doute un problème plus important. L’absence de connaissances largement diffusées sur le traitement des données ouvre la porte aux spéculations, qui peuvent même déboucher sur des théories du complot.
La réglementation formelle est importante en tant que cadre. Elle demande au sous-traitant d’indiquer explicitement qui sont les parties concernées, quel est l’objectif du traitement, le type de données conservées, la durée de conservation prévue, le responsable du traitement, … Cela résulte notamment dans une déclaration de protection de la vie privée qui reprend toutes ces informations.
Toutefois, souvent, les documents de base formels ne constituent pas une base d’information suffisante pour le citoyen lambda. Ils sont fréquemment exhaustifs mais par ailleurs aussi difficilement accessibles. Ils ne donnent pas toujours une réponse concrète aux simples questions des citoyens aux endroits où les citoyens cherchent ces informations.
Les pouvoirs publics ont un rôle exceptionnel à jouer pour assurer la transparence de leurs traitements de données et de la protection des données qu’ils appliquent, par exemple sur des sites thématiques et des portails. À l’heure actuelle, de nombreuses informations sont disponibles dans les sources d’information auprès des pouvoirs publics, notamment dans le secteur social et le secteur des soins de santé.
Outre son rôle de chien de garde, l’Autorité de protection des données a également un rôle important à jouer en tant que centre d’expertise, qui peut inspirer confiance et ramener les débats à la situation de fait.
Multidisciplinarité
Une approche multidisciplinaire est importante pour atteindre les équilibres énoncés.
Par exemple, l’évaluation correcte du principe de proportionnalité nécessite une connaissance du domaine. Afin de pouvoir évaluer quelles données à caractère personnel peuvent être communiquées dans quels cas et à quelles instances, par exemple pour l’application correcte de la réglementation en matière de sécurité sociale ou la fourniture de soins de qualité, il faut avoir une connaissance de cette réglementation ou des bonnes pratiques dans le domaine des soins de santé.
Afin d’éviter les risques liés à la protection des données sans compromettre inutilement la valeur ajoutée du traitement des données, il faut comprendre les mesures de sécurité de l’information structurelles, organisationnelles et techniques en matière de TIC qui sont possibles pour prévenir les menaces.
Il est donc important que les responsables des traitements de données se fassent assister par des Délégués à la protection des données (DPD) pluridisciplinaires et que des organes tels que l’Autorité de protection des données ou le Comité de sécurité de l’information aient également une composition pluridisciplinaire : des juristes spécialisés dans la réglementation de la vie privée, des experts TIC spécialisés en sécurité de l’information, mais aussi des experts dans les domaines pour les matières qui leur sont soumises.
Cogestion par les personnes prenantes
Qui est mieux placé que les personnes directement concernées pour juger du caractère approprié et proportionnel du traitement des données ? Le principe du consentement éclairé n’y répond qu’en partie. Toutes sortes de services en ligne demandent notre autorisation unique, sur la base d’informations très minimales concernant la finalité, et sans aucune forme de concertation concernant le traitement des données que nous considérons comme proportionnel. Il s’agit plus souvent de formalisme que de participation réelle.
La situation est encore différente dans le contexte public. En effet, notre consentement éclairé n’est pas requis pour nous envoyer une amende de circulation, l’avertissement-extrait de rôle et une convocation électorale. Le traitement des données au sein des pouvoirs publics est souvent basé sur une mission légale.
C’est précisément parce que le législateur ne peut pas prévoir toutes les conséquences pratiques qu’il est essentiel que les personnes concernées (les « data subjects ») individuellement aient droit de parole et de cogestion, via des experts ou des groupes d’utilisateurs. Cela permet d’éviter les effets pervers d’une législation bien intentionnée.
Dans le secteur social et dans le secteur des soins de santé, tous les groupes d’acteurs sont conjointement responsables de l’organisation du traitement des données. Les médecins, les mutualités et les associations de patients réunis au sein du comité des utilisateurs et/ou du Comité de gestion de la Plate-forme eHealth participent à la détermination des échanges de données qui sont souhaitables et proportionnels. Les organisations représentant les employeurs, les travailleurs et les indépendants sont aussi aux commandes au sein du Comité de gestion de la Banque Carrefour de la sécurité sociale.
La cogestion est également possible et souhaitable dans d’autres secteurs.