L’année 2020 a été marquée par une crise sanitaire sans précédent, qui a également eu un impact non négligeable sur la protection des données personnelles.


Covid-19, le défi vie privée de l’année

L’APD a été amenée à se prononcer sur la mise en place de traitements de données qu’on aurait difficilement pu imaginer avant la pandémie, comme la création d’un indice de mobilité basé sur les données de télécommunications des belges, ou encore le développement de méthodes et applications de traçage de contacts de personnes infectées par le coronavirus. Trouver la manière de préserver la santé publique tout en garantissant le respect de la protection des données à caractère personnel ne fut pas toujours un exercice facile, mais il était nécessaire pour protéger les droits et libertés des individus en matière de vie privée.

Malgré des ressources limitées, l’APD a donc en 2020 mis les bouchées doubles sur la sensibilisation, notamment en créant sur son site web un dossier thématique Covid‑19 alimenté régulièrement de nouvelles lignes directrices et questions-réponses afin de guider citoyens et responsables du traitement en ces temps incertains.

Elle a également rendu aux parlementaires et gouvernements de nombreux avis relatifs à des textes normatifs mettant en place des traitements de données par l’État dans le cadre de la crise sanitaire (collecte, enregistrement et utilisation de données, notamment de santé, dans le cadre du tracing, de la vaccination ou du contrôle du respect du testing et de la quarantaine par exemple). Enfin, elle a redoublé de vigilance, réagissant notamment à de nombreuses initiatives interpellantes comme la prise de température des voyageurs à Brussels Airport, ou encore une initiative communale d’imposer des tests Covid-19. Plusieurs dossiers de contrôle liés au coronavirus ont été ouverts et sont actuellement en cours d’examen par le Service d’Inspection et/ou la Chambre Contentieuse de l’APD.


Avis

Projets de textes normatifs

Depuis le début de la pandémie du coronavirus, de nombreux textes normatifs ont été rédigés et mis en œuvre pour encadrer différents types de mesures, généralement temporaires, ayant pour objectif :

  • soit de limiter la propagation du virus (via l’imposition de mesures telles que le « traçage des contacts » ou le contrôle du respect de l’obligation de mise en quarantaine) ;
  • soit de venir en aide à des citoyens ou organisations dont la situation – notamment financière - a été largement impactée par la crise (par le biais de prêts, primes ou dispenses) ;
  • soit encore d’aménager le fonctionnement de certains services de l’État qui, en des temps ordinaires, requièrent des contacts rapprochés entre individus.

Conformément à l’article 36.4 du RGPD, l’Autorité doit être consultée préalablement à la mise en place de toutes normes législatives et réglementaires de portée générale qui créent, modifient ou modalisent des traitements de données à caractère personnel. L’APD rend dès lors des avis consultatifs préalables sur les projets de normes qui lui sont transmis avant leur vote ou mise en œuvre.

L’APD a émis en 2020 toute une série d’avis concernant de tels projets de textes normatifs. La liste complète de ces avis peut être consultée sur le site web de l’APD (voir la page « Avis relatifs au Covid-19 »).

Une grande partie de ces avis ont dû être rendus dans des délais extraordinaires afin de ne pas retarder la mise en place des mesures en question.

Ces avis analysent essentiellement le respect, par les auteurs des textes en projet, des principes de légalité, prévisibilité, nécessité, proportionnalité ainsi que d’autres principes et règles issus du RGPD, de la loi du 30 juillet 2018 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel, des traités internationaux relatifs aux droits fondamentaux et de la jurisprudence (de la Cour de justice de l’Union Européenne et de la Cour des droits de l’homme). Les principaux manquements relevés dans ces avis ont trait :

  • au manque de précision de la description des finalités des traitements de données envisagés (laissant ouverte la possibilité de réutilisation par l’État, de données souvent sensibles, à des fins autres que celles pour lesquelles elles ont été collectées ou générées)
  • au caractère non limitatif des catégories de données traitées (laissant à l’exécutif le pouvoir d’ajouter des données à la liste des données pourtant actée par la loi) et de personnes concernées, et
  • à l’absence de détermination des tiers à qui les données récoltées et/ou enregistrées pourront être rendues accessibles (ouvrant la porte à un partage illimité de données de santé).

Une douzaine d’avis ont été émis dans le cadre de la mise en place d’un système de suivi des contacts à haut risque. La multitude d’avis rendus sur ce sujet unique s’explique par le fait que ce projet a initialement été réglé par un arrêté royal de pouvoirs spéciaux, qui a ensuite été remplacé par une proposition de loi, qui a elle-même fait l’objet de plusieurs amendements (au sujet desquels des avis ont été rendus), ensuite été formalisée dans un nouvel arrêté qui lui-même a été intégré dans un projet d’accord de coopération qui, une fois conclu, a dû être ratifié par la voie de plusieurs lois et décrets. Des textes confirmant l’arrêté initial de pouvoirs spéciaux ont également été édictés, de même que des décrets régionaux définissant l’organisation concrète des centres régionaux de traçage des contacts. Certaines des recommandations émises ont été suivies, d’autres pas. Ce qui constitue un fait marquant par rapport au fonctionnement et à l’activité ordinaire du Centre de Connaissances dont les avis sont généralement suivis.

L’APD a également exercé sa compétence d’avis relativement à deux textes permettant l’offre d’une application numérique de traçage des contacts (Coronalert) et en définissant le fonctionnement. Les remarques émises portent essentiellement sur la centralisation auprès de Sciensano de données générées par l’application concernant ses utilisateurs.

Les avis émis au sujet des mesures visant à l’octroi de primes, allocations, prêts et autres avantages compensatoires ainsi que ceux portant sur l’instauration de la vidéoconférence ont donné lieu à des remarques plus limitées, notamment en raison du fait que les données concernées sont moins sensibles et ne révèlent notamment pas l’état de santé des citoyens. Leur collecte, conservation et utilisation par l’État constitue dès lors une ingérence moins importante dans le droit à la protection des données des individus de sorte que ces opérations font l’objet d’exigences moindres en termes d’encadrement légal.

Enfin, un avis rendu fin décembre porte sur un arrêté royal « concernant l’enregistrement et le traitement de données relatives aux vaccinations contre la Covid-19 ». Cet avis épingle une série de manquements sérieux dont une partie a été corrigée dans le cadre de la rédaction de l’accord de coopération qui a remplacé cet arrêté royal.

Voici un aperçu des avis rendus en 2020  par demandeur :

Demandeur

Nombre d’avis

Président de la Chambre des Représentants

6  avis (Avis 42/2020, 43/2020, 44/2020, 46/2020, 52/2020 et 59/2020)

Ministre de l'Agenda numérique, des Télécommunications et de la Poste, chargé de la Simplification administrative, de la Lutte contre la fraude sociale, de la Protection de la vie privée et de la Mer du Nord

3 avis (Avis 34/2020, 36/2020, 64/2020)

 

Vice-Premier ministre et ministre de la Justice, chargé de la Mer du Nord

2 avis (119/2020 et 131/2020)

Ministre de la Santé et des affaires sociales, de l’aménagement du territoire et du logement (Communauté Germanophone de Belgique)

1 avis (50/2020)

Ministre des Affaires sociales et de la Santé publique, et de l’Asile et la Migration

1 avis (79/2020)

Ministre wallon de l’énergie, du climat et de la mobilité

1 avis (72/2020)

Vice-Présidente et Ministre du gouvernement wallon de l’Emploi, de la Formation, de la Santé, de l’Action sociale, de l’Egalité des chances et des Droits des Femmes

1 avis (96/2020)

Vice-Président de la Wallonie et Ministre de l’Économie, du Commerce extérieur, de la Recherche et de l’Innovation, du Numérique, de l’Agriculture, de l’Aménagement du territoire, de l’IFAPME et des Centres de compétence

1 avis (97/2020)

Membre du Collège réuni de la Commission communautaire commune, compétent pour le Bien-être et la Santé

1 avis (132/2020)

Ministre de l'Economie du Gouvernement de la Région de Bruxelles-Capitale 

1 avis (137/2020)

Vice-premier Ministre et Ministre des Affaires sociales et de la Santé publique

1 avis (138/2020)

Analyses d'impact relatives à la protection des données

Dans sa longue série d'avis législatifs, l'APD a déjà pointé à plusieurs reprises la nécessité de réaliser une analyse d'impact relative à la protection des données (AIPD).

Dès le début de la crise, l'APD a été sollicitée pour émettre un avis sur l'analyse d'impact relative à la protection des données de l'indice de mobilité envisagé par le Gouvernement. Cet indice a permis aux décideurs et aux experts d'obtenir, à l'aide de données anonymisées sur les déplacements de téléphones portables, des chiffres factuels afin d'évaluer l'efficacité de l'interdiction de déplacement (en vigueur à l'époque).

En outre, l'Institut belge de santé Sciensano a demandé le 4 septembre un avis de l'APD sur l'AIPD de Coronalert. L'avis de l'APD a donné le feu vert pour la poursuite du processus de développement de Coronalert, mais a également attiré l'attention sur plusieurs risques. L'APD a demandé en particulier un suivi méticuleux du risque de faux résultats positifs, des audits de sécurité réguliers et des informations accessibles pour des groupes vulnérables comme les enfants. Afin de suivre de près l'évolution de tous ces risques, l'APD a demandé de fournir tous les trois mois une mise à jour de l'AIPD. Vous pouvez trouver l'AIPD la plus récente de Coronalert sur le site Internet Coronalert.be.


Le contrôle du respect de la réglementation

Outre l'approche ex ante des nouvelles mesures, l'APD a bien entendu aussi une tâche de contrôle à l'égard des traitements concrets qui ont lieu dans le cadre de la lutte contre le Covid-19. De par sa nature, ce contrôle se fait donc ultérieurement. En 2020, l'APD a mené les premières inspections et a établi un premier rapport d'inspection au sujet de la surveillance par caméras à la côte. Sur la base de ce rapport d'inspection, la Chambre Contentieuse a pris une décision en janvier 2021, établissant les conditions connexes pour la minimisation des données lors de la mesure de l'affluence par des moyens techniques.


Dossiers thématiques informatifs sur le site Internet

La crise du Covid-19 a entraîné une déferlante de questions adressées à l'APD par des citoyens et des entreprises au sujet de l'impact des mesures sanitaires sur notre vie privée. Pour traiter efficacement toutes ces questions, l'APD a élaboré un processus afin de détecter au plus vite les questions les plus fréquentes et d'y répondre via des dossiers thématiques spécifiques sur son site Internet.

Puis-je prendre la température de travailleurs ? Puis-je installer une caméra dans mon magasin pour détecter les clients qui ne portent pas de masque ? Les cafés et restaurants peuvent-ils utiliser à des fins de marketing direct les données de clients qu'ils devaient enregistrer en été ? Une maison de repos peut-elle m'obliger à compléter un questionnaire avant de pouvoir travailler bénévolement ? Peut-on m'interdire l'accès à un festival si je n'ai pas de preuve de vaccination ? L'APD a répondu à toutes ces questions dans le dossier thématique Covid-19. L'APD a ensuite pris l'initiative de donner des directives aux pouvoirs locaux afin de lutter contre la pandémie en respectant au maximum la vie privée des citoyens. Les autorités publiques sont en effet un secteur prioritaire dans le Plan Stratégique de l'APD et un soutien efficace des pouvoirs locaux s'est vite révélé indispensable. Dans la commune X, un exploitant de salle de fitness devait conserver les données de ses clients pendant deux semaines et dans la commune Y, trois semaines ? Un test corona obligatoire après un rassemblement non autorisé ? Par ses directives, l'APD a attiré l'attention des pouvoirs locaux sur les risques et s'est efforcée d'harmoniser les diverses mesures locales.


Surveillance proactive

Avec la crise du Covid-19, l'action proactive de l'APD a été plus que jamais nécessaire. L'APD a surveillé l'évolution de nouvelles technologies ou pratiques dans la lutte contre le virus et n'a pas hésité à prendre contact avec des entreprises ou développeurs afin de veiller à ce que la vie privée soit toujours une préoccupation centrale dans le processus de développement. L'APD entend ainsi assister les responsables du traitement afin de trouver un équilibre entre vie privée et innovation. Nouvelles applications d'e-Santé, bracelets intelligents, applications de recherche de contacts au sein d'entreprises : rien n'a échappé au radar de l'APD.

Une lettre de monitoring de l'APD vise en premier lieu à réclamer des informations précises. Parfois, une enquête complémentaire est nécessaire, par exemple si l'APD a des doutes quant au traitement en question. C'était notamment le cas lors de l'installation de caméras thermiques à l'aéroport de Zaventem ou l'installation d'un réseau de caméras intelligentes pour mesurer l'affluence à la côte, des situations dans lesquelles l'APD a décidé d'ouvrir une enquête via le Service d'Inspection. Le réseau de caméras intelligentes à la côte a déjà donné lieu à une décision de la Chambre Contentieuse au printemps 2021. En résumé : l'APD a tenu les choses à l'œil !