News

Nos données privées de santé sont-elles suffisamment protégées?

10 novembre 2021
Non, puisque des failles importantes de l’application CovidScan et de l’accès au portail Helena ont été mises au jour, justifiant une action en justice et une plainte auprès de l’APD et – pour ce qui concerne Helena – la mise en veille immédiate du système. Il en va de la sécurité de données ultra sensibles nous concernant tous.

Qu’il s’agisse de CovidScan, cette application, qui permet de contrôler et de valider votre Covid Safe Ticket, ou de l’authentification auprès du portail Helena, qui vous donne accès à votre dossier médical et permet l’échange de documents médicaux entre vous et votre médecin ainsi qu’entre professionnels de la santé, on parle d’un flux continu d’informations particulièrement sensibles nous concernant tous. Que votre médecin et vous y ayez accès, c’est normal. Que ces données puissent se retrouver dans les mains de personnes non autorisées et – peut-être – mal intentionnées est inadmissible. Ces services développés par des entreprises privées, mais mandatées par les autorités gouvernementales belges devraient assurer un niveau de sécurité à toute épreuve. Or, ce n’est visiblement pas le cas.

CovidScan : les données de 39 000 personnes potentiellement dans la nature

Pour l’application Covid Scan, on parle de « faille » dans le système. Alors que le scan de votre QR Code devrait juste signaler si vous êtes « en ordre », il semble que l‘application ait permis d’accéder à une liste de personnes vaccinées dont les certificats sont suspendus pour cause de « maladie », révélant ainsi qu’elles avaient contracté le Covid malgré la vaccination. Cette potentielle fuite de données concernerait plus de 39.000 personnes.

Pour rappel, en vertu de la loi, toute faille de sécurité doit être notifiée à la personne concernée, ainsi qu’à l’APD. Or, lorsque cette faille a été révélée, eHealth ne l'aurait pas signalée à l'Autorité de protection des données (APD) ni prévenu les personnes concernées. 

L’association de défense des libertés Charta21 a introduit une action en référé devant le tribunal de première instance de Bruxelles pour faire suspendre l’application CovidScan. Le tribunal vient de désigner un expert judiciaire indépendant pour analyse et la prochaine audience est fixée au 1er décembre prochain.

Helena : un accès trop facile

Pour Helena, c’est le niveau de sécurité – trop bas – qui est en cause, comme l’ont soulevé nos confrères du journal Le Soir. Alors que normalement, tout service privé de gestion de données personnelles de la population agréé par l’État doit garantir un niveau de sécurité élevé, le Comité de sécurité de l’Information (CSI) a autorisé le fournisseur d’Helena à diminuer ce niveau pour faciliter l’accès aux informations mises sur son portail. Nul besoin de carte d’identité électronique ni même de l’appli istme pour s’authentifier. Votre médecin vous envoie un code par e-mail (confirmé par un SMS) et il suffit d’entrer ce code pour vous connecter. Ce qui pose deux questions : la sécurité d’un simple code facilement piratable est-elle vraiment suffisante alors qu’il donne accès non seulement à vos données de santé, mais aussi de sécurité sociale (donc de pension, de rémunération…) ? Et est-il normal que la responsabilité de votre identification repose sur un médecin et non plus sur une instance officielle (comme c’est le cas pour itsme) ? 

C’est d’ailleurs Medispring (une coopérative regroupant plus de 2200 médecins) qui a déposé une plainte auprès de l’Autorité de protection des données (APD) contre la décision du CSI. Depuis, l’accès aux données via Helena est suspendu. Rappelons que l’APD s’était déjà opposée à la création du CSI en 2018, tout comme la Commission européenne et le Conseil d’État, en raison du fait qu’il autorise les réutilisations de données, sans passer par le Parlement (garant d’un débat démocratique).

Un débat de fond à reprendre

En résumé, nos informations personnelles de santé ne semblent pas aussi cadenassées que l’on pourrait l’espérer. 

Avec de telles failles et faiblesses au niveau de leur sécurité, le risque est réel de les voir filer dans la nature ou être croisées, avec d’autres, à des fins qu’en tant que citoyen, nous ne maîtrisons pas et pour lesquelles, on ne nous a pas toujours demandé notre consentement. Ce qui induit le risque d’une rupture du lien de confiance entre le citoyen et les institutions.

Le respect de la loi sur la vie privée doit être garanti, y compris par les institutions fédérales elles-mêmes. Dans un monde de numérisation des données, une vigilance accrue doit être imposée quand il s’agit des données de santé. Le citoyen doit garder la maîtrise absolue sur celles-ci, peu importe le contexte sanitaire.

La loi sur la protection des données personnelles, doit rester le garde-fou fondamental de ces systèmes de traitement de données de santé, dont le respect s’impose à tous. 

 
 
Contenus liés

News