Analyse du projet de tracking des données issues des mobiles pour le déconfinement

09.04.2020

Gestion d'entreprise

Le gouvernement a confié au Comité analyse, recherche et expertise (CARE) piloté par le ministre de la santé, le soin de réfléchir à "l'opportunité de la mise en place d'une stratégie numérique d'identification des personnes ayant été au contact de personnes infectées". En clair, les données des téléphones portables seraient utilisées pour suivre les déplacements individuels, et ainsi détecter d'éventuelles contaminations.

Enjeux du tracking envisagé par le Gouvernement 

Pour Mounir Mahjoubi (ancien secrétaire d’Etat au numérique, aujourd’hui député), « ce type de dispositif entre en contradiction avec de nombreuses valeurs des pays européens », et la question de son équilibre avec les libertés individuelles se pose « gravement ».[1]

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité (analyse du bilan, compte de résultat, prévisionnel, budgétisation...), de la finance (la gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (choix du statut juridique, contrats commerciaux, fiscalité)

Découvrir tous les contenus liés

Alec Archambault, avocat spécialisé en droit du numérique, alerte : « Le smartphone ou la montre connectée sont de formidables outils d’asservissement volontaire. Si le dispositif est disproportionné, si les données ne sont pas fiables et si on dispose d’alternatives moins intrusives, alors le tracking peut porter atteinte aux libertés. On ne sort pas l’arme nucléaire pour faire du maintien de l’ordre ! »[2]

Tout l’enjeu de cette application gouvernementale est de créer une application à visée médicale qui ne serait pas contraire aux libertés individuelles.
 

Sur la restriction de l’étendue de l’application  
Pour ce faire, l’application doit se restreindre dans son contenu : elle n’aurait qu’une visée médicale, afin de « tracer les contaminations éventuelles du Covid-19 », pour reprendre les termes du ministre de l’intérieur en date du 5 avril 2020, sans qu’elle ne permette de contrôler le respect du confinement par les utilisateurs de l’application.
 
Sur le droit au respect des données personnelles des utilisateurs
L’application faisant l’objet de l’étude confiée au CARE aurait pour objet de conseiller le gouvernement sur un backtracking d’identification des personnes en contact avec celles infectées par le virus, sur la base de l’anonymat ou du consentement préalable de l’utilisateur pour le traitement de ses données.  

De même, le PDG d’Orange collabore avec l’INSERM pour développer des procédés permettant de gérer la propagation de l’épidémie, basés sur l’utilisation de données de géolocalisation anonymisées afin de permettre aux épidémiologistes de modéliser la propagation de la maladie.

L’application ne saurait être exemptée du contrôle de la CNIL, comme la Présidente l’indique lors d’une interview, en affirmant qu’il faut « veiller à concilier la recherche de l’efficacité sanitaire (…) et en même temps protéger la vie privée des Français. » 

L’application serait envisageable si : « Les solutions qui peuvent reposer sur le Bluetooth avec peu de collecte de données personnelles, des identifiants au lieu d’informations nominatives, du chiffrement, un stockage sur le téléphone… (qui) sont plus protectrices de la vie privée que d’autres solutions ou d’autres dispositifs qui ont été mis en œuvre à l’étranger, en Asie notamment, pour lesquels il y a un potentiel risque d’intrusion dans la vie privée. »

En cas d’absence de consentement préalable ou d’anonymisation des données : « Une intervention législative s’imposerait. Il faudrait alors s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (en termes de durée et de portée). »

Autrement dit, une application gouvernementale pour aider à lutter contre la propagation de l’épidémie poserait d’importantes questions en termes de libertés individuelles. Tout l’enjeu est de créer une application dont le contenu et le domaine sont proportionnés, limités à la seule lutte contre la propagation du virus, dans un esprit respectueux des libertés des utilisateurs ayant consenti à l’utilisation de leurs données ou dont les données personnelles seraient anonymisées.
 

Conformité au RGPD 
Principe de loyauté

Les données personnelles doivent être traitées de manière loyale au regard de la personne concernée (RGPD, art.5, a).

Cela implique notamment la proportionnalité des dispositifs utilisés par le traitement. Il faut se poser la question de savoir si des traitements moins intrusifs permettraient d’atteindre le même objectif visé par le traitement.

Jeudi 2 avril dernier, la CNIL s’est réunie pour discuter du tracking envisagé. A cette occasion, François Pellegrini, docteur en informatique, a présenté les outils disponibles, dont notamment :

  • des outils permettant de recenser les déplacements globaux des populations via des données anonymisées (technique mise en œuvre par exemple par l’Italie en Lombardie) ;
  • des applications de « suivi de contacts » permettant de retracer l'itinéraire de personnes testées positives (dispositif par exemple mis en œuvre à Taïwan) ;
  • des outils permettant de vérifier le respect de la quarantaine (comme en Chine)[3].
L’ensemble de ces traitements reposerait sur diverses technologies, notamment le bornage téléphonique, et impliquerait donc la contribution des opérateurs.
 
Principe de licéité

Tout traitement doit reposer sur l’une des bases légales prévues par l’article 6 du RGPD. 

Toutefois, dans le cas où des données « particulières » ou sensibles sont impliquées, le traitement est interdit (RGPD, art.9, §1). Par exception, ce type de traitement peut être autorisé si l’une des bases légales listées à l’article 9, §2 du RGPD est remplie. En vertu de cet article, ces données particulières peuvent être traitées si elles sont (présentation simplifiée de la CNIL) :

  • fournies par la personne concernée avec son consentement explicite. En plus de devoir être libre, spécifique, éclairé, univoque et facilement révocable au sens de l’article 4, §11 du RGPD, le consentement devra être donné d’une façon incontestable et qui ne permette aucune mauvaise interprétation. Pour le CEPD, « la personne concernée doit formuler une déclaration de consentement exprès. Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. »[4] ;
  • nécessaires à l’exécution des obligations en droit du travail et social (ex : déclaration des accidents du travail) ;
  • nécessaires à la sauvegarde des intérêts vitaux de la personne ;
  • traitées pour la gestion des membres d’un organisme à but non lucratif (politique, philosophique, religieux ou syndical) ;
  • manifestement rendues publiques par la personne concernée (ex : opinions politiques d’un élu).
  • nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ;
  • nécessaires pour des motifs d’intérêt public importants ;
  • nécessaires à des fins médicales (médecine préventive, diagnostics médicaux, gestion des services de santé, etc.) ;
  • nécessaires pour des motifs d’intérêt public dans le domaine de la santé publique ;
  • nécessaires à des fins d’archives dans l’intérêt public et de recherche scientifique (ex : recherche médicale) ou historique ou à des fins de statistiques sous réserve de garanties.

Une donnée sensible ou « particulière » au sens du RGPD est une donnée qui « révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. » (RGPD, art.9, §1).

Or, le tracking pourrait impliquer la collecte par le responsable du traitement de telles données. Par exemple, le fait de suivre une personne via son téléphone dans une manifestation politique ou dans un endroit de culte pourrait permettre de déduire ses convictions politiques ou religieuses.

En outre, des données concernant la santé seraient forcément traitées si les sujets identifiés comme contaminés par le COVID-19 étaient suivis.

 

Dans la mesure où des données sensibles seraient traitées via le tracking, celui-ci devra reposer sur l’une des bases légales de l’article 9, §2 du RGPD. 
Le Premier ministre Edouard Philippe a indiqué le 1er avril que le tracking pourrait être mis en œuvre sur la base d’un « engagement volontaire »[5], à l’image du tracking effectué en Allemagne qui repose sur le volontariat.
Or, comme exposé précédemment, le type de consentement requis en vertu de l’article 9, §2 du RGPD est plus exigeant, puisqu’il devra être recueilli de manière indubitable.
Dans une interview, la présidente de la CNIL a notamment déclaré :
 
«  Si nous parlons de suivi individualisé des personnes, il y a deux solutions : 
  • la première, c’est que ce suivi repose sur le volontariat, c’est à dire le consentement libre et éclairé. Il ne faut pas qu’il y ait de conséquences pour celui qui refuserait de télécharger une application ;
  • pour le suivi individualisé des personnes qui ne reposerait pas sur le consentement, il faudrait, d’une part, une disposition législative et d’autre part, que le dispositif soit conforme aux principes de protection des données »[6]
En d’autres termes, l’application pourrait reposer soit sur le consentement des personnes concernées, soit sur une autre base légale selon la liste précédemment mentionnée. Afin de respecter les droits des personnes, l’utilisation de cette autre base légale pourrait impliquer que les données traitées soient anonymisées.
 
Principe de transparence 

Les données doivent être traitées de manière transparente au regard de la personne concernée (RGPD, art. 5, a).

Ce principe implique notamment que les personnes concernées soient informées à propos des traitements effectués en vertu des articles 12, 13 et 14 du RGPD.

Toutefois, une telle information des personnes concernées n’est pas requise dans certains cas, et notamment :

  • lorsque la personne concernée dispose déjà de ces informations (RGPD, art.13, §4 et 14, §5, a) ;

  • si la fourniture de telles informations se révèle impossible ou exige des efforts disproportionnés, dans le cas où les données sont collectées de manière indirecte. Dans un tel cas, le responsable du traitement doit prendre des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations relatives au traitement publiquement disponibles (RGPD, art.14, §5, b) ;

  • si les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.

Le gouvernement n’hésite pas faire jouer ces exceptions, comme on l’a vu par exemple avec le décret Datajust. Or, le respect du principe de transparence a de nombreuses conséquences. Dans l’interview précitée, la présidente de la CNIL a ainsi déclaré que « l’application sera d’autant plus téléchargée et d’autant plus efficace » que « les gens auront confiance dans la protection qui sera faite de leurs données »[7]

Principe de limitation des finalités 

Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (RGPD, art.5, b).

Dans une interview au Monde, le secrétaire d’Etat au Numérique Cédric O a déclaré que le projet « StopCovid » a pour objectif de « développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission. L’idée serait de prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner »[8].

Dans une note parlementaire intitulée « Traçage des données mobiles dans la lutte contre le Covid-19. Analyse des potentiels et des limites » transmise ce lundi 6 avril, Mounir Mahjoubi a plus précisément identifié trois finalités possibles du traitement qui serait mis en place :

  • l’observation des pratiques collectives de mobilité et de confinement ;

  • l’identification des sujets porteurs ;

  • le contrôle des confinements individuels[9].

Dans le cas où un tracking des données mobiles serait mis en œuvre, c’est principalement la question de la légitimité des finalités définies qui se poserait. L’étude des enjeux soulevés par le traitement sera alors nécessaire. 
Principe de minimisation des données 

Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art.5, c).

A titre d’exemple, la Pologne a mis en place une application qui permet aux personnes de se prendre en photo. La photographie est ensuite envoyée aux policiers, qui peuvent ainsi géolocaliser les personnes concernées. Les policiers peuvent régulièrement demander aux personnes de leur envoyer des selfies, et celles-ci doivent répondre dans un délai de vingt minutes, sous peine de devoir payer une amende.

Dans le cadre de ce procédé, la question du respect du principe de minimisation des données personnelles se pose : une photographie est-elle réellement nécessaire pour permettre la géolocalisation des personnes ?

L’étude de ce principe renvoie notamment à la question du dispositif qui sera utilisé par le gouvernement. Si les données sont anonymisées, le principe sera plus facilement respecté. De même, le respect de ce principe dépend des personnes qui seront suivies : uniquement les malades, uniquement les confinés, tout individu ? 
 

Principe de limitation de la durée de conservation

Les données personnelles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art.5, e).

Un tracking effectué via des données personnelles non anonymisées issues des mobiles devra respecter un tel principe, et notamment en définissant :

  • la durée sur laquelle les déplacements seront conservés avant suppression (par exemple, en Israël, le renseignement intérieur remonte aux quinze jours précédents) ;
  • la durée globale du traitement : qu’entend-on exactement par « déconfinement » ? Combien de temps les malades seront-ils suivis ? 
  • les modalités de suppression des données : sera-t-elle définitive, ou les données seront-elles archivées en étant anonymisées ?
 
Interrogations qui demeurent 
  • sur quelle base légale fonder un tel tracking ? (de la réponse à cette question dépendent de nombreuses autres questions)
  • faudra-t-il passer par une loi pour procéder à un tel tracking ? (hypothèse émise par la présidente LREM de la commission, Yaël Braun-Pivet)
  • à qui le tracking s’appliquerait-il ? A chacun ? Aux malades ? Aux personnes encore confinées ?
  • qu’entend-on exactement par « période de déconfinement » ? Combien de temps durera-t-elle ?
 
Les suites du projet 

Mercredi 8 avril, la présidente de la CNIL a été auditionnée à ce sujet par la Commission des lois de l’Assemblée nationale.

Ce jeudi 9 avril, Cédric O est entendu par cette même Commission[10].

 

________________________________________
[1] BFM TV, Coronavirus: ce qu'envisage le gouvernement pour le traçage des données mobiles, 7 avril 2020, https://www.bfmtv.com/tech/coronavirus-ce-qu-envisage-le-gouvernement-pour-le-tracage-des-donnees-mobiles-1890597.html
[2] Le Journal du Dimanche, Déconfinement : le gouvernement sur la piste du "tracking", 5 avril 2020, https://www.lejdd.fr/Politique/deconfinement-le-gouvernement-sur-la-piste-du-tracking-3959969
[3] Le Journal du Dimanche, Déconfinement : le gouvernement sur la piste du "tracking", 5 avril 2020, https://www.lejdd.fr/Politique/deconfinement-le-gouvernement-sur-la-piste-du-tracking-3959969
[4] G29, Lignes directrices sur le consentement au sens du règlement 2016/679,  https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf, p.21
[5] BFM TV, Coronavirus: ce qu'envisage le gouvernement pour le traçage des données mobiles, 7 avril 2020, https://www.bfmtv.com/tech/coronavirus-ce-qu-envisage-le-gouvernement-pour-le-tracage-des-donnees-mobiles-1890597.html
[6] France info TV, Tracking contre le coronavirus : l'application sera "plus efficace" si les gens ont "confiance dans la protection de leurs données", https://www.francetvinfo.fr/sante/maladie/coronavirus/tracking-contre-le-coronavirus-l-application-sera-plus-efficace-si-les-gens-ont-confiance-dans-la-protection-de-leurs-donnees_3903541.html
[7] France info TV, Tracking contre le coronavirus : l'application sera "plus efficace" si les gens ont "confiance dans la protection de leurs données", https://www.francetvinfo.fr/sante/maladie/coronavirus/tracking-contre-le-coronavirus-l-application-sera-plus-efficace-si-les-gens-ont-confiance-dans-la-protection-de-leurs-donnees_3903541.html
[8] Le Monde, « L’application StopCovid retracera l’historique des relations sociales » : les pistes du gouvernement pour le traçage numérique des malades, 8 avril 2020, https://www.lemonde.fr/planete/article/2020/04/08/stopcovid-l-application-sur-laquelle-travaille-le-gouvernement-pour-contrer-l-epidemie_6035927_3244.html
[9] BFM TV, Coronavirus: ce qu'envisage le gouvernement pour le traçage des données mobiles, 7 avril 2020, https://www.bfmtv.com/tech/coronavirus-ce-qu-envisage-le-gouvernement-pour-le-tracage-des-donnees-mobiles-1890597.html
[10] L’Opinion, Tracking, données mobiles: la note qui évalue toutes les solutions, 7 avril 2020, https://www.lopinion.fr/edition/politique/coronavirus-tracking-donnees-mobiles-note-qui-evalue-toutes-solutions-215694

 

Emmanuel Daoud, Avocat au Barreau de Paris, associé du cabinet Vigo, membre du réseau international d’avocats GESICA et Coline Veriaux-Bizouard, élève-avocate
Vous aimerez aussi

Nos engagements