Lutte contre le Covid-19 : entre l’adoption d’outils numériques et la protection des données personnelles, un équilibre à trouver

Pour faire face à la pandémie de coronavirus, de nombreux États ont recours de manière accrue aux technologies numériques. La Pologne, par exemple, a mis en place une application qui impose aux personnes contaminées de prendre de manière régulière des « selfies » afin de prouver qu’elles respectent les mesures de quarantaine : les « selfies » sont une façon de démontrer leur présence à leur domicile. De son côté, Israël a envoyé des drones vérifier la présence à domicile.

La France, quant à elle, a lancé l’application « StopCovid ». Celle-ci consiste à collecter et à traiter les données de déclaration volontaire. Le traitement de ces données a pour finalité le suivi de la contamination, pour prévenir les personnes ayant été en contact avec un malade. Le projet a été confié à INRIA - qui a déjà participé à l’élaboration d’un protocole dénommé ROBERT permettant d’effectuer du « contact tracing » dans le respect des valeurs de protection des données personnelles -, projet qui soulève certaines critiques en raison des risques que peut présenter la centralisation sur un serveur de certaines données recueillies. La question qui se pose est évidente : ces initiatives sont-elles  de nature à enfreindre le RGPD ? 

Ces pratiques ont un impact direct sur la vie privée des personnes concernées et soulèvent de nombreuses questions. Depuis l’entrée en vigueur du RGPD, le grand public est sensible aux risques de mésusage de leurs données personnelles et des conséquences éventuelles sur leur vie privée. Cette position est d’ailleurs partagée par le Défenseur des droits, Jacques Toubon, qui a exprimé récemment ses craintes quant aux dérives potentielles de ces outils. Dans quelle mesure le RGPD encadre-t-il de telles pratiques ? 

Le règlement général sur la protection des données autorise les traitements de données à caractère personnel sans consentement explicite de la personne concernée dès lors qu’ils sont nécessaires à l’intérêt public (article 6-1 d et f). L’article 9-2 i du règlement précise d’ailleurs que « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé (…) ». D’autres fondements sont aussi envisageables, à savoir la protection des intérêts vitaux de la personne ou d’une autre personne physique (Art 9.2 c), le considérant 46 du règlement se référant d’ailleurs expressément au traitement de données pour le suivi des épidémies :

« certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation ».

Dans ces conditions entendues strictement, la base légale n’est donc pas le consentement.

Le traitement de données à caractère personnel dans le cadre d’une épidémie est donc possible et peut être fondé sur ces différentes bases légales ainsi que sur le consentement de la personne concernée. Bien évidemment, le recours à une base légale telle que l’intérêt public nécessite de respecter tout le cadre législatif mis en place par le RGPD (information, exercice des droits, etc.).

Que penser de la solution adoptée en France ? Les solutions de suivi des contacts (« contact tracing »), telles que « StopCovid », qui sont donc adoptées en France et en Europe sont très différentes de la géolocalisation. Fondées sur le contact entre téléphones via le protocole Bluetooth, elles ne gèrent pas, à priori, la localisation ni les déplacements des utilisateurs, mais peuvent différer selon que les données remontent vers un serveur central ou sont conservées en local dans le smartphone, où elles sont scrupuleusement « pseudonymisées ».

Dans ce cas de suivi individualisé des personnes basé sur le volontariat, l’efficacité des applications de « contact tracing » peut être amoindrie si peu de personnes l’utilisent. Rendre obligatoire l’utilisation de l’application par les citoyens est un scénario envisageable qui assurerait son efficacité, mais cela nécessiterait un acte législatif dédié et des garanties fortes. 

Le point crucial est aujourd’hui la nature des données traitées : elles doivent être adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités, comme l’a aussi rappelé la CNIL. La Commission a également tenu compte de l’analyse d’impact indispensable dans ce cas, compte tenu des enjeux.

Quid du traitement des données de géolocalisation ? Il est strictement encadré, notamment par la directive 2002/58/CE « vie privée et communications électroniques » du 12 juillet 2002. Celle-ci conditionne l’utilisation des données « clients » par les opérateurs de télécommunication à leur préalable anonymisation. C’est ce que rappelle le contrôleur européen de la protection des données dans ses recommandations modifiées du 19 mars 2020 : les données de géolocalisation, pour être utilisées, doivent être préalablement anonymisées et agrégées.

On notera que pour le fonctionnement de leurs services, les opérateurs de téléphonie mobile disposent de données de géolocalisation (« bornage GSM ») qui sont déjà utilisées, par exemple, par les forces de police dans les enquêtes criminelles, sans que cela soulève de réelles polémiques.

Selon la CNIL, « un processus d’anonymisation de données personnelles vise à rendre impossible toute identification des individus au sein de jeux de données. Il s’agit donc d’un processus irréversible ». Toutefois, l’anonymisation est un processus complexe : une anonymisation trop exigeante pourrait réduire la valeur de l’information collectée et donc affecter la précision et l’efficacité de la stratégie de « tracking » ; en sens inverse, une anonymisation trop laxiste apporterait peu de garanties au citoyen.

Comme pour le système d’information mis en place par la loi prorogeant l’état d’urgence (Contact-Covid et SI-Dep), en tant qu’association représentative des délégués à la protection des données (DPD/DPO), l’AFCDP souhaiterait être invitée à participer à ces projets, au même titre que les associations représentatives de malades

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés

EGAlim : vers des négociations commerciales équilibrées avec les agriculteurs

Je télécharge gratuitement