Malgré les mises en garde de l’Autorité quant à cet arrêté royal, celui-ci a été publié le 24 décembre 2020 et est entré en vigueur le même jour.
Il nous apparaît important de dresser ici une brève analyse de quelques-uns des risques relevés par l’Autorité de protection des données suite à la création d’une base de données relative à la vaccination :
-
Manque de prévisibilité pour les citoyens
S’il est tout à fait possible de prévoir des « atteintes » à la vie privée des citoyens, il convient de vérifier que ces dernières sont nécessaires et proportionnées aux objectifs poursuivis. Par ailleurs, les ingérences dans le droit à la protection des données doivent être encadrées par une norme suffisamment claire et précise, dont l’application peut être prévisible pour les personnes concernées, en l’espèce, les citoyens vaccinés contre la COVID-19.
Malheureusement, le contenu de l’arrêté royal manque indubitablement de clarté et de précision.
Rappelons que le Règlement sur la protection des données impose que tout traitement soit réalisé pour une seule finalité clairement déterminée. Les finalités prévues par l’arrêté royal, en plus d’être en nombre important (huit), sont insuffisamment définies et explicites. Que signifient, pour ne prendre que deux exemples, les finalités « soutien à la politique de vaccination », « organisation de la vaccination » ? Cette formulation très large des finalités de traitement de données ne permet pas aux citoyens, dont les données sont traitées, d’avoir une vue d’ensemble des circonstances dans lesquelles les opérations de traitement seront effectuées et autorisées.
De même, les données traitées au sens du Règlement sont généralement listées de manière exhaustive. L’arrêté mentionne pourtant des catégories de données libellées en termes vagues et généraux. Quelles données personnelles figurent exactement sous les termes « données relatives au vaccin » et « données relatives au moment et au lieu d’administration du vaccin » notamment ?
Ce manque de clarté et de prévisibilité de la norme, tant du point de vue des finalités que des catégories de données traitées, ne permet pas aux personnes concernées de comprendre ce qu’il advient de leurs données et de s’assurer pleinement que le principe de minimisation des données, selon lequel seules les données strictement nécessaires au traitement peuvent être traitées, est respecté.
-
Manque de clarté sur les destinataires des données
L’arrêté royal prévoit que « Les données de la base de données de vaccination ne peuvent (…) être transférées à des organismes ayant une mission d’intérêt général que pour les finalités pour lesquelles ces organismes sont chargés par ou en vertu d’une loi, d’un décret ou d’une ordonnance ».
Comme le souligne très justement l’Autorité de protection des données, cette disposition est si large qu’elle ne permet à nouveau absolument pas aux citoyens d’avoir une vision claire des traitements effectués avec leurs données, par quel(s) tiers, à quelles fins et à quelles conditions ce traitement est autorisé.
Une possibilité d’accès aussi large fait craindre un risque de discrimination en matière d’accès à certains services publics sur base du statut de vaccination. D’autant plus que le vaccin n’est pas obligatoire. Il convient dès lors de veiller à ce que les personnes non-vaccinées ne se voient pas refuser des prestations ou des services sur cette base. Par conséquent, il est regrettable que l’arrêté ne mentionne pas explicitement les catégories de destinataires pouvant accéder à la base de données et les finalités exactes de cet accès.
L’Autorité de protection des données recommande que chaque citoyen ait un droit d’accès à ses données contenues dans la base de données afin qu’il puisse à tout moment savoir qui a consulté ou mis à jour ses données. Cette solution permettrait de mieux respecter les droits et libertés des citoyens et de leur donner confiance en l’utilisation de la base de données de vaccination.
A ce jour et selon les informations dont nous disposons, cette proposition de l’Autorité de protection des données n’a pas été suivie. Les entités pouvant accéder à la base de données et les finalités de cet accès n’ont pas non plus été précisés.
-
Principe de minimisation malmené et durée de conservation injustifiée
L’Autorité de protection des données relève à plusieurs reprises que certaines données récoltées ne paraissent pas nécessaires à la réalisation du traitement et de sa finalité. Elle indique également que les objectifs statistiques que sont « la détermination de la couverture vaccinale » et « la répartition des coûts de la vaccination entre le fédéral et les Régions » peuvent être remplis sur base de données anonymisées.
En effet, l’article 3 de l’arrêté royal prévoit une liste non négligeable de données recueillies dont l’utilité pose question, par exemple, le lieu d’administration du vaccin.
Force est de constater que l’arrêté royal manque de clarté et de précision quant aux raisons pour lesquelles de telles données doivent être conservées.
Quant à la durée de conservation des données, l’arrêté royal indique que les données reprises dans la base des données peuvent être conservées jusqu’à deux ans après le décès de la personne concernée par les données. Aucune explication n’est apportée pour justifier ce délai de conservation extrêmement long.
-
Conclusion
Malgré les différents risques mis en lumière, l’arrêté royal relatif à l’enregistrement et au traitement de données relatives aux vaccinations contre la COVID-19 est entré en vigueur le 24 décembre dernier.
Cette base de données verra donc le jour, au détriment de la vie privée des citoyens. Un tel manque de clarté renforce par ailleurs, et selon nous à juste titre, le sentiment d’insécurité, toujours grandissant, des personnes concernées en cette période de crise sanitaire.
Nous pouvons évidemment espérer que les termes utilisés dans ce texte, rédigé en urgence, se précisent au fur et à mesure de son application, même si cette manière de procéder semble faire fi des principes démocratiques.
Cependant, les citoyens demeurent libres d’exercer leurs droits au sens du Règlement sur la protection des données et de s’interroger sur les traitements réalisés sur leurs données. L’Etat belge n’est donc pas à l’abri d’une procédure devant l’Autorité de Protection des Données. Cette dernière risque, a priori, au vu de l’avis rendu, de donner raison à la personne qui souhaiterait contester tout ou partie des traitement opérés sur leurs données.
Bien entendu, la législation peut être amenée à évoluer et nous vous tiendrons informés.
Une question ? Besoin d’information ou d’aide pour exercer vos droits ? Contactez-nous.
Claire VANDESANDE et Florence GARCET
Avocates
.