Données personnelles: il est grand temps que l’on vous dise… (résumé)

https://www.lesoir.be/373416/article/2021-05-20/donnees-personnelles-il-est-grand-temps-que-lon-vous-dise — 20/05/2021

Cette carte blanche est co-signée par un collectif de juristes, d’avocats, de responsables du traitement de données, de médecins…
Nous avons passé des milliers d’heures à fouiller, à interroger, à comparer, à nous challenger, à assembler les pièces du puzzle.
Ceux qui l’ont fait avant nous et qui ont osé questionner publiquement la situation, ont été décrédibilisés, harcelés, isolés.

Ce problème se met en place depuis de nombreuses années et s’accentue secrètement et dangereusement.
La situation est critique et n’est pas juste un débat de juristes.

L’abandon de nos droits au profit de la santé publique est nocif à tout point de vue. Et relève d’une stratégie démagogique des plus vicieuses.

L’État collecte auprès des citoyens une série de données à leur sujet : nom, prénom, date de naissance, adresse, mais aussi des données plus intrusives comme leurs revenus, leur état de santé, leur situation familiale, leurs éventuelles condamnations dont ils auraient fait l’objet.

Le parlement fédéral (députés élus) sont chargés de définir quelles entités de l’État peuvent utiliser quelles données, pour quelles finalités et combien de temps ces données peuvent être conservées, au moyen de débats démocratiques, qui aboutissent à des lois, décrets, ordonnances.

1. La plupart des lois et arrêtés pris depuis le début de la pandémie se sont pour la plupart limités à prévoir que des données seraient utilisées, souvent sans les énumérer, sans nous expliquer pourquoi et par qui. Beaucoup de ces textes ont été adoptés sans faire l’objet d’un avis du Conseil d’État ni de l’APD (Autorité de protection des données).
   
2. Le partage de nos données est simplement mis en œuvre, sans cadre légal, par des institutions qui se sont autoproclamées aptes à en décider, qui en ont mandaté d’autres pour organiser la tuyauterie.
   

La grande mise en commun de nos données n’est plus soumise aux avis des autorités de contrôle, et n’est plus susceptible de recours. Tous les verrous ont sauté.

Depuis des décennies, des fonctionnaires et mandataires publics ont érigé un système permettant l’échange de données entre les institutions du réseau de la sécurité sociale. Chaque entité dispose de sa ou de ses bases de données et une institution appelée « intégrateur de services » établit la liste de ces bases de données (et des catégories de données qu’elles contiennent) et met en œuvre le réseau de données qui permet les communications de données entre institutions.
La même architecture a été mise en place dans le domaine de la santé. Et serait en cours de développement pour organiser les transferts de données entre les organes de la justice (tribunaux, prisons, etc.) et de la Sûreté de l’État. Le domaine fiscal ne devrait pas longtemps y résister. Et le nombre d’institutions participantes ne fait qu’augmenter, au gré de petites adaptations législatives périodiques.

Tout a basculé vers un système incontrôlé et incontrôlable de libre accès total par toutes les entités de l’État, à toutes les données des citoyens (y compris les plus intimes), sans nécessité de fournir la moindre justification. Et sans contrôle de la réutilisation de ces données. L’open bar.

1. Tout a commencé par la création de la plateforme e-health et de la Banque Carrefour de la Sécurité sociale (BCSS) et la mise en place des « intégrateurs de services ».
2. Puis la mise en place de bases de données massives centralisées (en plus de celles détenues par chacune des entités participantes aux réseaux e-health) gérées par les intégrateurs de services.
3. Étape importante, la création du numéro de Registre national (n° de Sécu pour nous) et l’extension de son usage afin de faciliter l’échange et le recoupement des données issues des réseaux de la santé, de la Sécurité sociale et des bases de données fiscales.
4. La promulgation de la loi « only-once », l’invention du principe de la « collecte unique » des données et la création du système des « sources authentiques », et son détournement total.
5. La création du Comité de Sécurité de l’Information (CSI) via une loi contraire au RGPD et à la constitution votée au forceps la veille des vacances parlementaires, contre l’avis de tous les spécialistes. Ce comité remplace véritablement le parlement.
6. Ces étapes se sont accompagnées d’un élargissement continu des réseaux de la santé et de la Sécurité sociale, et d’une duplication du modèle aux réseaux de la justice, reliant ainsi les (données des) tribunaux, prisons, etc.
7. 4 de ces membres ce sont choisis pour siéger auprès de l’APD (Autorité de protection des données). L’un de ces membres a conçu ce système, dirige l’entité l’ayant mis en œuvre, dirige des entités qui écrivent les délibérations… (plus de 15 mandats publics). Alors que la loi créant l’APD prévoit une règle claire d’incompatibilité légale : « une personne détenant un mandat public ne peut faire partie de cet organe collégial ».
8. Le projet Putting Data at the Center (PDC, rebaptisé « Big Data Analytics ») révélé récemment par Le Soir, est la dernière étape nécessaire au système de généralisation de l’échange massif et illimité de données personnelles entre autorités en dehors de toute intervention du parlement, de l’APD, du Conseil d’État et de la Cour constitutionnelle.

Ce système permet à toutes les autorités de l’État de prendre possession de données qui ne leur ont pas été confiées par les citoyens et de les utiliser pour des finalités dont la loi/le Parlement n’a pas décidé de l’acceptabilité. Ce système permet à ces autorités de faire des recoupements, du datamining, du datamatching illimité, pour établir des profils-type, faire du profilage et surveiller les citoyens.

Les pièces de ce puzzle sont nombreuses, éparpillées dans des textes de lois édictés à des époques et dans des contextes différents. À tel point que personne n’a rien vu venir. Et que peu sont aptes à reconstituer le puzzle.

Les « experts » ne sont en réalité que ceux qui prônent l’accès illimité aux données sans aucune justification parce que cela arrange leur administration. Le flou est total. Compromettant une fois pour toutes toute velléité à reconstituer un schéma complet des échanges de données. Et éventuellement de le contester.

Le RGPD représentait une menace pour ce système. Un seul acteur aurait pu agir, l’APD.
C’est pour cela que 4 de ces membres ont été choisis pour y siéger comme directeurs de l’APD. Il les fallait redevables, dociles et prêts à détourner les yeux pour ne pas voir.

Pourquoi notre CNIL n’a-t-elle pas de pouvoir et un budget ridicule ?