La Banque Carrefour de la Sécurité Sociale et la plateforme eHealth: ‘big brother’ ou ‘data protection by design’ ?

Que préférez-vous ?

Vous avez droit à une allocation pour personnes handicapées ou à un revenu d’intégration. Sur cette base, vous avez également droit au tarif social pour l’eau, le gaz et l’électricité, à un tarif réduit pour les transports en commun et à une exonération de la taxe sur les déchets ménagers à la commune.

  • Voulez-vous obtenir un grand nombre d’attestations papier que vous devez vous-même envoyer à de nombreuses instances pour bénéficier de ces avantages complémentaires ?
  • Ou préférez-vous que toutes ces instances vous accordent automatiquement ces avantages car elles ont reçu une notification électronique que vous rencontrez les conditions d’obtention, sans leur donner de détails inutiles sur votre situation ?

Vous ne vous sentez pas bien et vous consultez votre médecin généraliste. Il fait un test sanguin et vous prescrit des médicaments. Cela ne s’améliore pas et vous consultez un spécialiste dans un hôpital sur les conseils de votre médecin généraliste.

  • Désirez-vous que ce spécialiste refasse le test avec de nouveaux coûts pour vous et pour l’assurance maladie ?
  • Ou souhaitez-vous qu’il ait automatiquement accès aux résultats des tests déjà effectués ?

Vous déménagez. Vous travaillez et vous avez donc droit à un pécule de vacances. Votre épouse a droit à une indemnité d’interruption de carrière et, ensemble, vous recevez des allocations familiales pour vos enfants et vous êtes assuré contre la maladie et l’invalidité.

  • Souhaitez-vous déclarer vous-même la nouvelle adresse à la caisse de vacances, à l’ONEm, à la caisse d’allocations familiales et à la mutualité ?
  • Ou préférez-vous que toutes ces instances soient automatiquement informées de votre changement d’adresse par voie électronique ?

Vous avez subi dans le passé une réaction allergique grave à un certain médicament.

  • Voulez-vous risquer qu’un autre médecin vous prescrive un médicament similaire ?
  • Ou voulez-vous que tous les médecins avec lesquels vous entrez en contact soient informés de votre allergie ?

Vous avez chaque fois choisi pour la deuxième option ? Lisez la suite !

Si vous avez choisi la deuxième option pour chacune de ces questions, vous semblez en faveur d’un partage bien organisé et sécurisé des données entre les institutions de sécurité sociale et entre les prestataires de soins de santé. Mais bien sûr, vous ne voulez pas que vos données soient transmises à n’importe qui. Heureusement, en Belgique, il existe une Banque Carrefour de la Sécurité Sociale (BCSS) et une plate-forme eHealth, qui organisent le partage de données là où cela est utile, en respectant les réglementations sur la protection de la vie privée et en appliquant des garanties de sécurité de l’information, et qui empêchent le partage de données quand il n’est pas légitime.

Afin d’organiser l’échange de données de manière très transparente et démocratique, un Comité de la Sécurité de l’Information (CSI) a également été mise en place, composée d’experts indépendants, notamment des médecins universitaires, nommés par le Parlement. Ce CSI détermine quelles communications de données personnelles sont autorisées dans quelles circonstances, pour quelle durée, avec quelles garanties de sécurité et de transparence pour le citoyen, et lesquelles ne sont pas autorisées du fait notamment d’une finalité et légitimité non justifiées.

La BCSS et la plateforme eHealth vérifient à l’avance si ces conditions fixées par le Comité de la Sécurité de l’Information (finalité et légitimité de l’échange, proportionnalité des données, mesures de sécurité, …) sont bien respectées à l’occasion d’un échange concret de données. La BCSS et la plate-forme eHealth sont des sortes de “clearing houses“, qui ne traitent pas elles-mêmes des données à caractère personnel et n’y ont d’ailleurs pas accès, mais vérifient que tout fonctionne correctement. En d’autres termes, une sorte d’autorités “douanières”. D’où les termes de “carrefour” et “plateforme”, qui renvoient au fait que ces organismes mettent en place les structures permettant ces échanges de données sans avoir accès aux données mêmes.

A la lecture de plusieurs articles de presse, on parle d’un système aux allures de “big brother” et “digne d’un état totalitaire” en mettant en cause son architecte. Pourtant cette vision est complètement contraire aux intentions et à la réalité. Je vous invite à poursuivre la lecture ci-dessous pour comprendre le fonctionnement du système. Si malgré tout, il y a encore matière à amélioration, j’aimerais en prendre connaissance !

La Banque Carrefour de la Sécurité sociale et la Plate-forme eHealth comme mesures de “data protection by design” et “data protection by default”

Tant dans le secteur social que dans le secteur des soins de santé, un échange électronique de données entre les acteurs chargés de la protection sociale et entre les prestataires des soins de santé des citoyens est crucial pour satisfaire aux droits sociaux fondamentaux garantis par la Constitution (voir l’article 23 de la Constitution belge) et par le droit international. Une protection sociale effective et efficace et une dispensation de soins de santé de qualité ne sont pas possibles sans l’échange électronique de données. Les exemples énoncés ici le démontrent.

Le développement et l’organisation de cet échange électronique de données sont basés sur une analyse des risques relatifs au droit fondamental de la protection de la vie privée, et ceci bien avant la promulgation du Règlement Général sur la Protection des Données (RGPD). Des mesures ont été prises au niveau du “data protection by design” et du “data protection by default” lors du développement de cet échange électronique de données.

Deux mesures importantes ont été instaurées, à savoir

  • la précision des circonstances et conditions dans lesquelles des données peuvent être échangées par la voie électronique dans le respect des principes de protection de la vie privée (tels que le principe de finalité, le principe de proportionnalité, des mesures de sécurité appropriées et le principe de transparence) par un organe indépendant, nommé par le Parlement;
  • le passage obligatoire via un “clearing house” qui vérifie, à titre préventif, s’il est satisfait à toutes les conditions fixées (dans le secteur social) ou l’utilisation obligatoire des services de base offerts par une “clearing house” qui garantissent un échange électronique de données bien sécurisé (dans le secteur de la santé).

Le concept du “clearing house” dans le secteur social a été conçu au milieu des années ’80 avec l’instauration de la Banque Carrefour de la Sécurité Sociale (BCSS). Il se fonde sur l’idée que le développement d’une banque de données centrale contenant toutes les informations pertinentes n’est pas souhaitable, notamment pour des raisons de protection de la vie privée et de sécurité de l’information (big brother). Les données restent stockées de façon décentralisée auprès des différentes institutions de sécurité sociale. S’il est bénéfique pour l’effectivité et l’efficacité de la protection sociale, un échange mutuel d’informations pertinentes est organisé entre les institutions concernées. A cette fin, les institutions sont reliées entre elles via un réseau électronique sécurisé. L’organisation de ce réseau et du partage des données est confiée à une institution indépendante (BCSS) qui n’a pas de missions à assumer au niveau de la perception de cotisations ou de l’octroi d’allocations, et qui ne traite pas elle-même de données, de sorte qu’elle puisse faire office de “clearing house” et éviter tout conflit d’intérêts. La BCSS est une institution publique, instituée par la loi, qui offre des services aux acteurs du secteur social. Il s’agit essentiellement des institutions publiques de sécurité sociale (organisations publiques, dit réseau “primaire”, créées en vertu de la réglementation qui accomplissent des tâches d’intérêt général, comme l’ONSS, l’ONEm, l’INASTI, …), des nombreuses institutions coopérantes de sécurité sociale (organisations du secteur privé qui participent à l’application de la sécurité sociale, dans l’intérêt général) et de diverses autres organisations qui sont toutes chargées de missions d’intérêt général (assurer le transport ou l’approvisionnement en énergie et appliquer à cet égard des tarifs spéciaux pour certaines catégories d’assurés sociaux). Le réseau dit ‘secondaire’ de la sécurité sociale est donc pleinement impliqué dans l’organisation des échanges de données (caisses de paiement d’allocations de chômage ou familiales, d’indépendant, mutualités, etc.) mais aussi, depuis les réformes de l’Etat successives, les entités fédérées en charge des différentes compétences en matière de protection sociale. Le principe étant qu’en partageant les données, les divers organismes évitent notamment de demander à un citoyen ou une entreprise les mêmes informations (principe de la collecte ‘only once’).

En 2009, sur base d’une loi de 2008, le modèle de la Banque-carrefour a été élargi au secteur des soins de santé par la création de la Plate-forme eHealth. La Plate-forme eHealth est une institution publique, instituée par la loi, qui vise à promouvoir l’échange électronique et sécurisé de données entre tous les acteurs des soins de santé (médecins, hôpitaux, pharmaciens, patients, …) tout en respectant la protection de la vie privée et le secret médical. La Plate-forme eHealth ne développe pas d’applications de contenu et ne gère pas de banques de données de santé. La Plate-forme eHealth offre plusieurs services dits “de base” qui peuvent être utilisés par tous les acteurs des soins de santé lors de l’échange de données de santé. Citons notamment le système de gestion des accès et des utilisateurs permettant à un prestataire de soins de prouver son identité ou sa qualité vis-à-vis de toutes les applications, le système de chiffrement des données échangées de sorte que ces données puissent uniquement être lues par l’émetteur et le destinataire, le système d’horodatage et le système de pseudonymisation et de codage.

Grâce à la création de ces institutions, l’échange de données entre l’ensemble des acteurs concernés est facilité et fait l’objet d’un contrôle préventif en ce qui concerne le respect des principes de finalité et de minimisation des données, conformément aux principes de base du RGPD en matière de “data protection by design” et de “data protection by default”.

Encore quelques exemples pour le concrétiser.

Exemples dans le secteur de la protection sociale

Les allocations de chômage et d’incapacité de travail, les pensions et les autres allocations sociales sont calculées au maximum sur la base des informations sur les salaires et les heures de travail qui ont déjà été communiquées par l’employeur à l’Office national de sécurité sociale (ONSS) aux fins du calcul des cotisations. Les changements d’adresse ou les changements dans la composition de ménage sont automatiquement transmis aux institutions sociales qui gèrent un dossier sur la personne concernée, de sorte que la personne concernée n’a pas à les signaler à de nombreuses institutions. De nombreux avantages, tels que les tarifs sociaux pour l’électricité, l’eau, le gaz, les transports en commun, … sont automatiquement accordés aux personnes qui doivent vivre d’un revenu d’intégration ou d’une allocation pour personnes handicapées, sans communiquer inutilement le statut social qui la sous-tend. Cette approche belge a été reconnue internationalement comme une meilleure pratique mondiale par la Commission européenne, par l’Association internationale de la sécurité sociale, et même par les Nations Unies et la Banque mondiale. Selon une analyse déjà ancienne du Bureau du Plan, elle permet également d’économiser chaque année plus d’un milliard d’euros de charges administratives inutiles pour les assurés sociaux et leurs employeurs.

Exemples dans le secteur de la santé

Au cours de leur vie, la plupart des gens entrent en contact, de manière simultanée ou successive, avec divers prestataires de soins (médecins généralistes, spécialistes, infirmiers, pharmaciens, kinésithérapeutes, diététiciens, …) et établissements de soins (hôpitaux, centres de rééducation, maisons de repos et de soins, …). Ceci est certainement le cas pour le public croissant de malades chroniques. Les patients sont par ailleurs de plus en plus mobiles, tant en Belgique qu’à l’étranger. En outre, les soins sont de plus en plus souvent administrés à distance (p.ex. télémonitoring). Il est donc essentiel que les informations relatives à l’état de santé du patient, aux traitements reçus et aux résultats obtenus par chacun des prestataires ou établissements de soins concernés, à tous les niveaux de soins et toutes disciplines confondues, soient conservées consciencieusement et d’une manière bien structurée. Et il est encore plus important que ces informations soient mises à la disposition, d’une manière efficace mais dûment sécurisée et par voie électronique, d’autres prestataires ou établissements de soins qui soignent simultanément le patient ou le soigneront ultérieurement et ce, d’une manière qui permet d’appliquer automatiquement des systèmes d’appui à la décision, tout en respectant évidemment la liberté thérapeutique du prestataire de soins.

Le patient doit aussi pouvoir consulter, conserver certaines données de manière électronique et les mettre à disposition. Il doit pouvoir participer à part entière au processus de soins et au partage électronique des données et des connaissances à l’appui de ce processus, car c’est finalement de sa santé qu’il s’agit.

Pour être efficaces et effectifs, les soins doivent être multidisciplinaires et transmuraux. Les prestataires de soins doivent se compléter, doivent connaître les informations relatives au patient et aux avancées médicales et doivent pouvoir les utiliser lorsqu’ils en ont besoin. Ils doivent finalement faire participer le patient au processus de prise en charge de sa santé.

L’échange de données électronique, sécurisé et rapide permet par ailleurs d’éviter des examens multiples inutiles qui constituent une charge pour le patient et qui génèrent des coûts superflus.

Cet échange permet par ailleurs de décharger les patients et les prestataires de soins de tâches fastidieuses, telles le remplissage de formulaires papier. Le précieux temps ainsi gagné peut être réinvesti dans les soins. Des processus électroniques sécurisés et bien conçus au niveau individuel de l’acteur mais surtout au niveau de l’ensemble des acteurs permettent de réduire considérablement ces paperasseries et de diminuer fortement les délais d’attente en vue de l’obtention de soins.

Enfin, un échange électronique de données peut soutenir la politique en matière de santé et la recherche en rassemblant des informations électroniques longitudinales exactes sur un grand nombre de patients, traitements et résultats. Ces informations sont soit codées, soit anonymisées sans que la vie privée des patients individuels ne soit indûment compromise.

Dans ce contexte, plus de 9 millions de Belges ont déjà donné leur consentement éclairé pour l’échange des données de santé pertinentes entre les prestataires de soins qui ont une relation de soins avec eux dans le but de promouvoir des soins continus de haute qualité. Sur cette base, plus de 17 milliards d’échanges de données sécurisés ont eu lieu l’année dernière. La Belgique gagne également une reconnaissance internationale dans ce domaine.

Le rôle du Comité de la Sécurité de l’Information (CSI)

Historiquement

Depuis la création de la Banque Carrefour de la Sécurité Sociale (BCSS) et de la plate-forme eHealth, il a été décidé, afin de renforcer le “data protection by design” et le “data protection by default”, de faire autoriser la communication des données personnelles par un comité indépendant nommé par le Parlement. Avant d’octroyer une autorisation, ce comité vérifie si la communication prévue des données à caractère personnel est conforme à la réglementation, en particulier celle concernant la protection des données, la protection sociale et les soins de santé.

En 1990, lors de la création de la BCSS, aucune autorité indépendante de protection des données, nommée par le Parlement, n’existait en Belgique. Il n’existait même pas de réglementation générale sur la protection de la vie privée lors du traitement électronique des données. La loi BCSS était la première loi belge à prévoir un organe indépendant nommé par le Parlement pour contrôler la protection de la vie privée ex ante (par le biais d’autorisations) et ex post (par le contrôle et le traitement des plaintes). Au fil des ans, ce Comité de Surveillance original a été intégré au sein de la Commission de la protection de la vie privée en tant que Comité Sectoriel de la Sécurité Sociale et de la Santé. Après la publication du Règlement Général sur la Protection des Données (RGPD), il a été rétabli en tant qu’organe distinct car il n’a pas été jugé politiquement approprié de confier à l’Autorité de Protection des Données un mandat réglementaire que le RGPD ne prévoit pas pour une autorité de contrôle.

Composition

Il est important qu’un comité indépendant chargé d’évaluer si une communication de données à caractère personnel est conforme aux droits fondamentaux de protection sociale, de soins de santé de qualité et de protection de la vie privée ait une composition multidisciplinaire. Par exemple, l’appréciation du principe de proportionnalité, en particulier évaluer quelles données à caractère personnel doivent pouvoir être communiquées dans quels cas et à quelles instances pour la bonne application des réglementations de sécurité sociale ou la prestation de soins de haute qualité, nécessite la connaissance de ces réglementations ou des bonnes pratiques de santé.

C’est pourquoi l’organisme impliqué a toujours été multidisciplinaire, composé de juristes spécialisés dans la réglementation de la protection de la vie privée, d’experts en TIC dans le domaine de la sécurité de l’information, d’experts en protection sociale et de médecins.

Comparaison internationale

La Belgique est quasiment le seul pays européen qui a réussi à créer pour l’ensemble du secteur social et ultérieurement pour l’ensemble du secteur de la santé une institution qui promeut et organise le partage bien sécurisé de données et qui optimalise les processus. Ceci nous a déjà permis d’obtenir une reconnaissance nationale et internationale de nos meilleures pratiques dans le secteur social (eGouvernment Champion belge en 2004, award des Nations unies en tant que meilleure pratique mondiale en 2006, award de l’Union Européenne en 2007, institution publique belge de l’année en 2014, award de l’Association internationale de Sécurité Sociale en 2019). Le modèle est systématiquement loué pour sa flexibilité quant à l’atteinte d’un juste équilibre entre la protection de la vie privée et la sécurité de l’information, d’une part, et un partage des données effectif et efficace, d’autre part. Le Comité de la Sécurité de l’Information joue un rôle crucial à cet égard.

Quel est le statut des délibérations du Comité de la Sécurité de l’information ?

Le Comité de la Sécurité de l’Information (CSI) est institué en vertu de la loi. Les délibérations du CSI ont valeur normative (loi au sens matériel) et peuvent être contestées par les voies de recours en vigueur si elles sont contraires aux normes juridiques supérieures. Le CSI donne un contenu concret aux mesures relatives à la sécurité de l’information lors de l’exécution de l’échange de données légal.

Conformément au Règlement Général sur la Protection des Données (RGPD), la notion de “loi” est large. En effet, lorsqu’il est fait référence à une base juridique ou à une mesure législative, cela ne signifie pas nécessairement que l’adoption d’un acte législatif par un parlement est exigée, conformément à l’ordre constitutionnel de l’Etat membre concerné (cf. considérant 41). Un Etat membre peut lui-même déterminer les modalités d’édiction des normes au niveau national.

Le CSI décrète à cet égard des normes internes précises de droit public comme exigé dans certains cas par le RGPD (p.ex. l’utilisation d’un numéro d’identification unique n’est possible que si des “mesures appropriées” sont prises en vue de la promotion de la protection de la vie privée – le système de délibérations préalables relatives au partage de données sur la base de ce numéro constitue une importante “mesure appropriée”).

Quelles sont les missions du Comité de la Sécurité de l’Information ?

Le maintien d’un organe indépendant qui détermine quelles données à caractère personnel peuvent être partagées et à quelles conditions de sécurité dans le secteur social et dans le secteur de la santé, constitue un facteur de succès crucial pour une adaptation permanente du partage des données aux besoins légitimes, offrant la sécurité juridique requise dans des secteurs dans lesquels de très nombreux acteurs sont actifs.

Le Règlement Général sur la Protection des Données (RGPD) requiert que l’ensemble des tâches relatives à l’avis, au contrôle et au sanctionnement soient confiées à une autorité de contrôle. C’est la raison pour laquelle les missions antérieures du Comité Sectoriel de la Sécurité Sociale et de la Santé en ce qui concerne le traitement de plaintes et les audits externes ont été confiées à l’Autorité de Protection de Données.

Le CSI a donc conservé 2 tâches:

  • accorder des autorisations pour la communication de données à caractère personnel dans le secteur social et le secteur des soins de santé tout en veillant au respect des principes de base de la protection des données
    • la finalité de l’obtention de données à caractère personnel doit être précise et légitime (principe de finalité)
    • les données communiquées pour cette finalité doivent être pertinentes (principe de proportionnalité)
    • la communication doit avoir lieu en toute sécurité
    • par l’autorisation, il y a une transparence pour la personne dont les données sont communiquées
  • promouvoir la protection des données et la sécurité de l’information, notamment en organisant des formations.

Qu’est-ce que le Comité de la Sécurité de l’Information n’est pas autorisé à faire ?

Les délibérations du Comité de la Sécurité de l’Information (CSI) ne concernent que l’échange (électronique) de données. Lorsqu’il rend des délibérations, le CSI est lié aux dispositions légales en ce qui concerne les finalités de traitement des instances qui reçoivent les données.  Les délibérations du CSI constituent uniquement une base juridique permettant à une instance qui traite des données à caractère personnel sur la base de finalités légitimes de communiquer ces données à caractère personnel à d’autres instances, dans le cadre de finalités légitimes pour lesquelles les instances destinatrices peuvent traiter des données à caractère personnel. Les délibérations du CSI ne constituent pas une base juridique pour la collecte et le traitement initiaux des données à caractère personnel par l’instance fournisseur des données. L’instance destinatrice doit, par ailleurs, traiter les données à caractère personnel en vertu des bases juridiques dont elle dispose. Le CSI ne peut donc pas étendre les finalités du traitement initial par l’instance qui fournit les données, ni offrir une base juridique pour des finalités de traitement par l’instance destinatrice autres que celles qui sont prévues par ou en vertu d’une loi.

Le CSI n’est pas une autorité de contrôle au sens du Règlement Général sur la Protection des Données (RGPD). Il n’est dès lors pas compétent pour surveiller le respect de la réglementation, résoudre les problèmes et litiges ou traiter les plaintes. En effet, c’est l’Autorité de protection des données qui est compétente pour ces matières.  L’Autorité de protection des données peut, à tout moment, confronter toute délibération du CSI aux normes juridiques supérieures et elle peut lui demander, en cas de non-conformité, de reconsidérer cette délibération sur les points qu’elle a indiqués.

Quid si le Comité de la Sécurité de l’Information n’avait pas été installé?

Afin d’inciter tous les acteurs des secteurs concernés à procéder au partage des données utiles et à disposer en même temps des garanties nécessaires au niveau de la sécurité de l’information et de la protection de la vie privée, il était crucial de pouvoir continuer à promulguer des délibérations relatives au partage de données. Tous les acteurs disposent ainsi de la sécurité juridique quant au fait qu’un partage de données est autorisé sur le plan juridique s’ils respectent correctement les conditions contenues dans la délibération. À défaut de cette sécurité juridique, certains acteurs risquent de renoncer au partage des données nécessaires. L’avance réalisée au niveau international sur le plan du partage de données, en particulier dans le secteur social, risque de se perdre et le développement de l’eSanté pourrait être fortement entravé.

L’installation d’un Comité de la Sécurité de l’Information est-elle contraire au Règlement Général sur la Protection des Données ?

Non. Certains articles du Règlement Général sur la Protection des Données (RGPD) accordent une certaine souplesse aux Etats membres. Mentionnons notamment les articles 6, alinéas 2 et 3, et 9, alinéas 2 et 4, du RGPD.

Pendant les négociations préalables au RGPD, il s’est par ailleurs avéré que la Belgique pouvait maintenir son système actuel, toutefois après l’avoir adapté aux dispositions du RGPD. C’est à ce moment que l’article 36, 5°, a été intégré dans le RGPD à la demande de la Belgique dans le but de pouvoir maintenir les comités d’autorisation.

Toutefois, le point de départ était à ce moment que les comités d’autorisation continuent à faire partie de l’autorité de contrôle. Néanmoins, il est à recommander que les membres du CSI ne fassent pas partie dess organes de contrôle de l’autorité de contrôle, de sorte à éviter tout conflit d’intérêts entre ceux qui rendent des délibérations et ceux qui sont chargés de contrôler leur application. Le CSI est donc créé en tant qu’organe administratif et ne fait plus partie de l’autorité de contrôle. Il élabore des règles contraignantes tout en mettant l’accent sur la prévention et la responsabilisation. Il s’agit là aussi de la philosophie de base du RGPD: “data protection by design” et “data protecion by default”.

Le CSI a cependant perdu les compétences qui, en vertu du RGPD, doivent être confiées à l’autorité de contrôle, à savoir la fourniture d’avis relatifs à la réglementation en projet, le traitement de plaintes, l’exécution de contrôles et d’investigations ou l’imposition de sanctions.

Les délibérations ne dispensent nullement les acteurs concernés du respect des autres dispositions du RGPD, en particulier en ce qui concerne le registre des activités de traitement, l’analyse d’impact relative à la protection des données et, le cas échéant, la consultation préalable de l’autorité de contrôle à ce propos.

Ce qui précède ne porte nullement préjudice à la compétence de l’Autorité de Protection des Données de surveiller, conformément au RGPD, le traitement de données à caractère personnel ou au droit des parties concernées de déposer, le cas échéant, une plainte auprès de cette autorité.

L’installation d’un Comité de la Sécurité de l’Information est-elle contraire à la Constitution ?

L’arrêt 2010-029 de la Cour constitutionnelle a confirmé que les délégations de pouvoir prévues dans la loi instaurant la plate-forme eHealth ne sont pas contraires à la Constitution. L’instauration du Comité Sectoriel de la Sécurité Sociale et de la Santé, le prédécesseur du Comité de Sécurité de l’Information, n’a pas été contestée.