Les données privées des Belges sans protection
Selon une enquête journalistique, des datas médicales transitent massivement par la Russie sans respecter les règles européennes.
Depuis 2018, les données des citoyens sont protégées par le RGPD européen, une étape qui aurait échappé à Smart Analytics. © PHOTO: Licence CC
De notre correspondant, Max Helleff (Bruxelles) - La Belgique est-elle une «passoire» à données privées ? Tout tend à le démontrer si l’on en croit deux enquêtes journalistiques menées au cœur des ordinateurs qui gèrent les datas des citoyens.
Il y a deux semaines, on apprenait ainsi qu’un haut fonctionnaire zélé «croisait» les données privées (fiscales, sociales, etc.) des Belges sans base légale ni contrôle. Aujourd’hui, il est question de transferts massifs de datas vers la Russie, pays qui abrite des hackers de haut vol, responsables par le passé de piratages sur des administrations et des entreprises belges.
Lire aussi :La Belgique reporte son déconfinement
Selon Le Soir et le périodique d’investigation ‘Médor’, les données d’hospitalisation des Belges sont transférées en Russie où est établi un sous-traitant de la société américaine 3M, Smart Analytics, «qui n’est actuellement pas organisé en respectant l’ensemble des garanties essentielles prévues par le RGPD - le règlement général européen sur la protection des données».
Ces datas concernent un nombre important de patients, le logiciel fourni par 3M étant employé par une majorité d’hôpitaux en raison de ses performances évidentes. Avec cet outil informatique, ils gèrent leurs finances, en fonction des types d’hospitalisation et de patients. Ils peuvent en outre s’observer l’un l’autre et éventuellement rectifier le tir pour rester concurrentiels.
Lire aussi :La Belgique maintient sa confiance à AstraZeneca
Tous les hôpitaux ne participent pas à ce grand carrousel des données. L’un d’eux explique ainsi qu’il s’abstient «notamment parce que les contrats engagent pour trois années et parce que les données sont traitées en Russie».
Depuis 2018, nos données sont protégées par le RGPD européen qui impose aux contractants un certain nombre de garanties. Cette étape aurait échappé à Smart Analytics, en dépit du caractère sensible des datas qui lui sont confiées : numéro de patient, séjour à l’hôpital, pathologies, médicaments prescrits, etc. Les données qui transitent par la Russie ne seraient pas «anonymisées», opération qui implique de gommer le lien établi avec l’identité des patients. Elles ne seraient pas davantage «pseudonymisées» lorsqu’elles terminent leur parcours en Allemagne, où elles ont finalement stockées.
Conséquence : «En cas de hacking, il est impossible de savoir si les données stockées en Allemagne seront suffisamment protégées pour empêcher la ré-identification des patients.»
L’enquête menée par les deux médias belges pose la question de la responsabilité de 3 M dans cette affaire, mais révèle aussi une absence crasse de transparence qui mériterait à tout le moins qu’un travail législatif soit réalisé pour rétablir le patient dans la propriété de ses données.
Lire aussi :La Belgique jugée pour inaction climatique
Les hôpitaux, eux, peuvent se voir mis à l’amende – jusqu’à 20 millions d’euros – si un patient vient à déposer plainte en cas de mauvaise utilisation de ses données. Ces derniers mois, les établissements hospitaliers se sont manifestement préoccupés de la question. «Les données sont cryptées avant envoi à 3M, explique un responsable, via un logiciel fourni par l’entreprise (3M) mais développé par un tiers…». Ce qui n’apaise guère les inquiétudes.
Le dossier est aujourd’hui entre les mains des fédérations du secteur hospitalier qui observent un silence prudent. Quant à l’entreprise 3M, elle affirme dans ‘Le Soir’ avoir rempli ses obligations légales : «Le personnel de Smart Analytics étant situé en Russie, des clauses contractuelles types (CCT) sont conclues afin de garantir aux personnes concernées l’opposabilité de leurs droits et des recours juridiques effectifs»…
