L’accord sur le contact tracing signé par les entités fédérées est dénoncé par l’Autorité de protection des données, qui n’a pas été consultée. Les critiques portent tout d’abord sur la procédure d’adoption. Les différentes Régions ont, en effet, choisi d’opter pour un accord de coopération pour valider la stratégie et les modalités du contact tracing plutôt qu’une proposition de loi. Un accord de coopération est discuté à huis clos, entre cabinets ministériels et loin du Parlement. Il n’a été soumis qu’une fois signé, et uniquement pour approbation, au pouvoir législatif. Cet accord sera donc soumis au vote du Parlement prochainement, mais sans débat ni amendement possible.

Au niveau du texte lui-même, plusieurs éléments posent problèmes, à commencer par la création d’une mégabase de données aux mains de Sciensano, alors que des bases de données délocalisées au niveau des contacts center par région suffiraient. Or sans justification valable, cette base de données est illégale aux yeux du RGPD. Il semble que le but réel d’une telle base de données ne soit pas le traçage mais la recherche.

Dans cette base, on retrouvera des données comme le numéro de registre national, les numéros Inami de médecins, les numéros de téléphone et bien d’autres données comme les images des poumons. On y prévoit aussi un couplage possible avec d’autres bases de données liées à la santé, comme celle contenant le « DMC », le dossier médical central de tous les patients belges. Cinq bases de données sont mentionnées dans le document, toutes interconnectées avec la base de données centralisée de Sciensano, au moyen de multiples flux de données. Enfin, dans plusieurs chapitres de l’accord de coopération, la notion de « visite physique » (autrement dit des visites domiciliaires) apparaît.

Contact tracing en Belgique