Analyse du projet de tracking des données issues des mobiles pour le déconfinement
09.04.2020
Gestion d'entreprise
Le gouvernement a confié au Comité analyse, recherche et expertise (CARE) piloté par le ministre de la santé, le soin de réfléchir à "l'opportunité de la mise en place d'une stratégie numérique d'identification des personnes ayant été au contact de personnes infectées". En clair, les données des téléphones portables seraient utilisées pour suivre les déplacements individuels, et ainsi détecter d'éventuelles contaminations.
Pour Mounir Mahjoubi (ancien secrétaire d’Etat au numérique, aujourd’hui député), « ce type de dispositif entre en contradiction avec de nombreuses valeurs des pays européens », et la question de son équilibre avec les libertés individuelles se pose « gravement ».[1]
Alec Archambault, avocat spécialisé en droit du numérique, alerte : « Le smartphone ou la montre connectée sont de formidables outils d’asservissement volontaire. Si le dispositif est disproportionné, si les données ne sont pas fiables et si on dispose d’alternatives moins intrusives, alors le tracking peut porter atteinte aux libertés. On ne sort pas l’arme nucléaire pour faire du maintien de l’ordre ! »[2]
Tout l’enjeu de cette application gouvernementale est de créer une application à visée médicale qui ne serait pas contraire aux libertés individuelles.
Sur le droit au respect des données personnelles des utilisateurs
De même, le PDG d’Orange collabore avec l’INSERM pour développer des procédés permettant de gérer la propagation de l’épidémie, basés sur l’utilisation de données de géolocalisation anonymisées afin de permettre aux épidémiologistes de modéliser la propagation de la maladie.
L’application ne saurait être exemptée du contrôle de la CNIL, comme la Présidente l’indique lors d’une interview, en affirmant qu’il faut « veiller à concilier la recherche de l’efficacité sanitaire (…) et en même temps protéger la vie privée des Français. »
L’application serait envisageable si : « Les solutions qui peuvent reposer sur le Bluetooth avec peu de collecte de données personnelles, des identifiants au lieu d’informations nominatives, du chiffrement, un stockage sur le téléphone… (qui) sont plus protectrices de la vie privée que d’autres solutions ou d’autres dispositifs qui ont été mis en œuvre à l’étranger, en Asie notamment, pour lesquels il y a un potentiel risque d’intrusion dans la vie privée. »
En cas d’absence de consentement préalable ou d’anonymisation des données : « Une intervention législative s’imposerait. Il faudrait alors s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (en termes de durée et de portée). »
Autrement dit, une application gouvernementale pour aider à lutter contre la propagation de l’épidémie poserait d’importantes questions en termes de libertés individuelles. Tout l’enjeu est de créer une application dont le contenu et le domaine sont proportionnés, limités à la seule lutte contre la propagation du virus, dans un esprit respectueux des libertés des utilisateurs ayant consenti à l’utilisation de leurs données ou dont les données personnelles seraient anonymisées.
Les données personnelles doivent être traitées de manière loyale au regard de la personne concernée (RGPD, art.5, a).
Cela implique notamment la proportionnalité des dispositifs utilisés par le traitement. Il faut se poser la question de savoir si des traitements moins intrusifs permettraient d’atteindre le même objectif visé par le traitement.
Jeudi 2 avril dernier, la CNIL s’est réunie pour discuter du tracking envisagé. A cette occasion, François Pellegrini, docteur en informatique, a présenté les outils disponibles, dont notamment :
- des outils permettant de recenser les déplacements globaux des populations via des données anonymisées (technique mise en œuvre par exemple par l’Italie en Lombardie) ;
- des applications de « suivi de contacts » permettant de retracer l'itinéraire de personnes testées positives (dispositif par exemple mis en œuvre à Taïwan) ;
- des outils permettant de vérifier le respect de la quarantaine (comme en Chine)[3].
Tout traitement doit reposer sur l’une des bases légales prévues par l’article 6 du RGPD.
Toutefois, dans le cas où des données « particulières » ou sensibles sont impliquées, le traitement est interdit (RGPD, art.9, §1). Par exception, ce type de traitement peut être autorisé si l’une des bases légales listées à l’article 9, §2 du RGPD est remplie. En vertu de cet article, ces données particulières peuvent être traitées si elles sont (présentation simplifiée de la CNIL) :
- fournies par la personne concernée avec son consentement explicite. En plus de devoir être libre, spécifique, éclairé, univoque et facilement révocable au sens de l’article 4, §11 du RGPD, le consentement devra être donné d’une façon incontestable et qui ne permette aucune mauvaise interprétation. Pour le CEPD, « la personne concernée doit formuler une déclaration de consentement exprès. Une manière évidente de s’assurer que le consentement est explicite serait de confirmer expressément le consentement dans une déclaration écrite. »[4] ;
- nécessaires à l’exécution des obligations en droit du travail et social (ex : déclaration des accidents du travail) ;
- nécessaires à la sauvegarde des intérêts vitaux de la personne ;
- traitées pour la gestion des membres d’un organisme à but non lucratif (politique, philosophique, religieux ou syndical) ;
- manifestement rendues publiques par la personne concernée (ex : opinions politiques d’un élu).
- nécessaires à la constatation, à l’exercice ou à la défense d’un droit en justice ;
- nécessaires pour des motifs d’intérêt public importants ;
- nécessaires à des fins médicales (médecine préventive, diagnostics médicaux, gestion des services de santé, etc.) ;
- nécessaires pour des motifs d’intérêt public dans le domaine de la santé publique ;
- nécessaires à des fins d’archives dans l’intérêt public et de recherche scientifique (ex : recherche médicale) ou historique ou à des fins de statistiques sous réserve de garanties.
Une donnée sensible ou « particulière » au sens du RGPD est une donnée qui « révèle l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique. » (RGPD, art.9, §1).
Or, le tracking pourrait impliquer la collecte par le responsable du traitement de telles données. Par exemple, le fait de suivre une personne via son téléphone dans une manifestation politique ou dans un endroit de culte pourrait permettre de déduire ses convictions politiques ou religieuses.
En outre, des données concernant la santé seraient forcément traitées si les sujets identifiés comme contaminés par le COVID-19 étaient suivis.
Dans la mesure où des données sensibles seraient traitées via le tracking, celui-ci devra reposer sur l’une des bases légales de l’article 9, §2 du RGPD.
Le Premier ministre Edouard Philippe a indiqué le 1er avril que le tracking pourrait être mis en œuvre sur la base d’un « engagement volontaire »[5], à l’image du tracking effectué en Allemagne qui repose sur le volontariat.
Or, comme exposé précédemment, le type de consentement requis en vertu de l’article 9, §2 du RGPD est plus exigeant, puisqu’il devra être recueilli de manière indubitable.
Dans une interview, la présidente de la CNIL a notamment déclaré :
« Si nous parlons de suivi individualisé des personnes, il y a deux solutions :
En d’autres termes, l’application pourrait reposer soit sur le consentement des personnes concernées, soit sur une autre base légale selon la liste précédemment mentionnée. Afin de respecter les droits des personnes, l’utilisation de cette autre base légale pourrait impliquer que les données traitées soient anonymisées.
|
Les données doivent être traitées de manière transparente au regard de la personne concernée (RGPD, art. 5, a).
Ce principe implique notamment que les personnes concernées soient informées à propos des traitements effectués en vertu des articles 12, 13 et 14 du RGPD.
Toutefois, une telle information des personnes concernées n’est pas requise dans certains cas, et notamment :
-
lorsque la personne concernée dispose déjà de ces informations (RGPD, art.13, §4 et 14, §5, a) ;
-
si la fourniture de telles informations se révèle impossible ou exige des efforts disproportionnés, dans le cas où les données sont collectées de manière indirecte. Dans un tel cas, le responsable du traitement doit prendre des mesures appropriées pour protéger les droits et libertés ainsi que les intérêts légitimes de la personne concernée, y compris en rendant les informations relatives au traitement publiquement disponibles (RGPD, art.14, §5, b) ;
-
si les données à caractère personnel doivent rester confidentielles en vertu d'une obligation de secret professionnel réglementée par le droit de l'Union ou le droit des États membre, y compris une obligation légale de secret professionnel.
Le gouvernement n’hésite pas faire jouer ces exceptions, comme on l’a vu par exemple avec le décret Datajust. Or, le respect du principe de transparence a de nombreuses conséquences. Dans l’interview précitée, la présidente de la CNIL a ainsi déclaré que « l’application sera d’autant plus téléchargée et d’autant plus efficace » que « les gens auront confiance dans la protection qui sera faite de leurs données »[7]
Les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière incompatible avec ces finalités (RGPD, art.5, b).
Dans une interview au Monde, le secrétaire d’Etat au Numérique Cédric O a déclaré que le projet « StopCovid » a pour objectif de « développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission. L’idée serait de prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner »[8].
Dans une note parlementaire intitulée « Traçage des données mobiles dans la lutte contre le Covid-19. Analyse des potentiels et des limites » transmise ce lundi 6 avril, Mounir Mahjoubi a plus précisément identifié trois finalités possibles du traitement qui serait mis en place :
-
l’observation des pratiques collectives de mobilité et de confinement ;
-
l’identification des sujets porteurs ;
-
le contrôle des confinements individuels[9].
Les données à caractère personnel doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art.5, c).
A titre d’exemple, la Pologne a mis en place une application qui permet aux personnes de se prendre en photo. La photographie est ensuite envoyée aux policiers, qui peuvent ainsi géolocaliser les personnes concernées. Les policiers peuvent régulièrement demander aux personnes de leur envoyer des selfies, et celles-ci doivent répondre dans un délai de vingt minutes, sous peine de devoir payer une amende.
Dans le cadre de ce procédé, la question du respect du principe de minimisation des données personnelles se pose : une photographie est-elle réellement nécessaire pour permettre la géolocalisation des personnes ?
L’étude de ce principe renvoie notamment à la question du dispositif qui sera utilisé par le gouvernement. Si les données sont anonymisées, le principe sera plus facilement respecté. De même, le respect de ce principe dépend des personnes qui seront suivies : uniquement les malades, uniquement les confinés, tout individu ?
Principe de limitation de la durée de conservation
Les données personnelles doivent être conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées (RGPD, art.5, e).
Un tracking effectué via des données personnelles non anonymisées issues des mobiles devra respecter un tel principe, et notamment en définissant :
- la durée sur laquelle les déplacements seront conservés avant suppression (par exemple, en Israël, le renseignement intérieur remonte aux quinze jours précédents) ;
- la durée globale du traitement : qu’entend-on exactement par « déconfinement » ? Combien de temps les malades seront-ils suivis ?
- les modalités de suppression des données : sera-t-elle définitive, ou les données seront-elles archivées en étant anonymisées ?
Interrogations qui demeurent
- sur quelle base légale fonder un tel tracking ? (de la réponse à cette question dépendent de nombreuses autres questions)
- faudra-t-il passer par une loi pour procéder à un tel tracking ? (hypothèse émise par la présidente LREM de la commission, Yaël Braun-Pivet)
- à qui le tracking s’appliquerait-il ? A chacun ? Aux malades ? Aux personnes encore confinées ?
- qu’entend-on exactement par « période de déconfinement » ? Combien de temps durera-t-elle ?
Les suites du projet
Mercredi 8 avril, la présidente de la CNIL a été auditionnée à ce sujet par la Commission des lois de l’Assemblée nationale.
Ce jeudi 9 avril, Cédric O est entendu par cette même Commission[10].
[1] BFM TV, Coronavirus: ce qu'envisage le gouvernement pour le traçage des données mobiles, 7 avril 2020, https://www.bfmtv.com/tech/coronavirus-ce-qu-envisage-le-gouvernement-pour-le-tracage-des-donnees-mobiles-1890597.html
[2] Le Journal du Dimanche, Déconfinement : le gouvernement sur la piste du "tracking", 5 avril 2020, https://www.lejdd.fr/Politique/deconfinement-le-gouvernement-sur-la-piste-du-tracking-3959969
[3] Le Journal du Dimanche, Déconfinement : le gouvernement sur la piste du "tracking", 5 avril 2020, https://www.lejdd.fr/Politique/deconfinement-le-gouvernement-sur-la-piste-du-tracking-3959969
[4] G29, Lignes directrices sur le consentement au sens du règlement 2016/679, https://www.cnil.fr/sites/default/files/atoms/files/ldconsentement_wp259_rev_0.1_fr.pdf, p.21
[5] BFM TV, Coronavirus: ce qu'envisage le gouvernement pour le traçage des données mobiles, 7 avril 2020, https://www.bfmtv.com/tech/coronavirus-ce-qu-envisage-le-gouvernement-pour-le-tracage-des-donnees-mobiles-1890597.html
[6] France info TV, Tracking contre le coronavirus : l'application sera "plus efficace" si les gens ont "confiance dans la protection de leurs données", https://www.francetvinfo.fr/sante/maladie/coronavirus/tracking-contre-le-coronavirus-l-application-sera-plus-efficace-si-les-gens-ont-confiance-dans-la-protection-de-leurs-donnees_3903541.html
[7] France info TV, Tracking contre le coronavirus : l'application sera "plus efficace" si les gens ont "confiance dans la protection de leurs données", https://www.francetvinfo.fr/sante/maladie/coronavirus/tracking-contre-le-coronavirus-l-application-sera-plus-efficace-si-les-gens-ont-confiance-dans-la-protection-de-leurs-donnees_3903541.html
[8] Le Monde, « L’application StopCovid retracera l’historique des relations sociales » : les pistes du gouvernement pour le traçage numérique des malades, 8 avril 2020, https://www.lemonde.fr/planete/article/2020/04/08/stopcovid-l-application-sur-laquelle-travaille-le-gouvernement-pour-contrer-l-epidemie_6035927_3244.html
[9] BFM TV, Coronavirus: ce qu'envisage le gouvernement pour le traçage des données mobiles, 7 avril 2020, https://www.bfmtv.com/tech/coronavirus-ce-qu-envisage-le-gouvernement-pour-le-tracage-des-donnees-mobiles-1890597.html
[10] L’Opinion, Tracking, données mobiles: la note qui évalue toutes les solutions, 7 avril 2020, https://www.lopinion.fr/edition/politique/coronavirus-tracking-donnees-mobiles-note-qui-evalue-toutes-solutions-215694