Stop Covid : «La France ne le fera pas, pour des raisons de culture de la donnée et d’éthique», Merav Griguer

Stop Covid : «La France ne le fera pas, pour des raisons de culture de la donnée et d’éthique», Merav Griguer

09.04.2020

Gestion d'entreprise

La mise en place d’une application mobile destinée à endiguer le Covid-19 serait juridiquement possible selon certaines conditions, estime Merav Griguer, partner chez Bird & Bird. Mais pour l’avocate, aucune autorité ne souhaite en Europe, et plus particulièrement en France, être celle qui va autoriser la mise en place d’un tel dispositif.

Dans un entretien au Monde publié hier, le ministre des solidarités et de la santé, Olivier Véran, et le secrétaire d’Etat chargé du numérique, Cédric O, ont expliqué réfléchir au développement d’une application mobile destinée à « limiter la diffusion du virus en identifiant des chaînes de transmission ». Merav Griguer, avocat associée au sein du groupe international Privacy & Data Protection chez Bird & Bird, fait le point sur la faisabilité juridique et pratique de ce projet.

La mise en place d’une application de tracking aux fins de lutte contre le Covid-19 serait-elle possible en France ?

Avant le Covid-19, nous avons beaucoup travaillé avec d’autres experts en privacy sur le sujet de la reconnaissance faciale, utilisée notamment pour des raisons de sauvegarde de la vie humaine et de sécurité publique dans un contexte de lutte contre le terrorisme. Avec le Covid-19, nous nous retrouvons avec les mêmes préoccupations et les mêmes enjeux et risques juridiques. Selon moi, il est possible de mettre en place un tel dispositif dans le respect des règles applicables. Cela suppose naturellement plusieurs aménagements.
Toutefois, même si l’on cochait toutes les cases de la conformité aux règles dictées par le RGPD et notre loi Informatique et Libertés, l’obstacle serait celui des autorités publiques.
Je ne suis pas certaine que la CNIL, telle qu’on la connaît dans sa doctrine et sa position actuelle, accepterait la mise en place d’un tel dispositif.

Quelles règles faudrait-il respecter pour autoriser ce dispositif ?

Outre la base légale des traitements de données mis en œuvre dans le cadre de ce dispositif (telle que le consentement des individus ou l’intérêt légitime ou un texte légal à adopter), l’une des règles à respecter concerne le caractère proportionnel. Quelles sont les mesures de tracking des individus qui pourraient être considérées comme suffisamment proportionnées ? Les autorités ont une marge d’appréciation sur la suffisance de ces mesures et ce caractère proportionnel. Elles l’ont déjà fait dans le cadre des dispositifs de reconnaissance faciale. Mais il est difficile d’être l’autorité publique qui validera un dispositif intrusif qui fait nécessairement des entorses aux droits fondamentaux et aux libertés individuelles.

Pour autoriser un tel dispositif, la solution serait de prendre une loi. Est-ce que les autorités publiques se sentiraient assez à l’aise pour prendre une loi sur la base de laquelle se fonderait un traitement de données aux fins de lutte contre le Covid ? Une fois l’adoption d’une telle loi, qui servirait de base légale quasi-irréprochable, la CNIL se sentirait plus à l’aise pour accepter de tels traitements dont elle pourra contrôler néanmoins la conformité a posteriori.

Un tel dispositif serait donc conforme au RGPD ?

En l’état actuel, nous sommes dans une situation d’urgence. Le cadre réglementaire ne s’oppose pas à la mise en place de tels systèmes technologiques aux fins de lutte contre le Covid-19. Toutefois, cela devra être fait dans le respect de l’ensemble des règles : base légale, principe de proportionnalité, minimisation des données, sécurité des données, information, etc. ainsi que toutes les autres garanties à mettre en place pour assurer une protection suffisante des données à caractère personnel et des libertés individuelles. Ce travail en amont est établi dans le cadre de ce qu’on appelle le PIA (l’étude d’impact) qu’on doit mettre en place lorsqu’on créé un dispositif susceptible de présenter un risque important en termes de vie privée et de protection des données. Le PIA va permettre de justifier qu’on a mis en balance les risques et les mesures de protection et toutes autres garanties permettant de réduire et limiter ces risques au maximum.

Qui procéderait à cette analyse d’impact ?

Celui qui a développé ce dispositif technologique, l’éditeur de cette solution, devra justifier qu’il est privacy by design. Il doit également concourir à la réalisation de l’analyse d’impact. Mais celui qui a l’obligation légale de mettre en œuvre l’analyse d’impact, c’est celui qui utilise/déploie le dispositif ou pour le compte duquel ce dispositif est déployé : à savoir le responsable de traitement. Par exemple, la police, le gouvernement, les organisations de santé, etc.

Cela suppose donc de manière certaine un lourd travail d’analyse en amont, mais ce n’est pas impossible. C’est une approche très chirurgicale pour arriver à trouver le juste curseur qui permette d’assurer la protection des libertés individuelles et la vie privée des individus. Il s’agit en effet d’un traitement présentant des risques graves, lourds, intrusifs, susceptibles de porter atteinte à la vie privée et aux libertés individuelles. Par ailleurs, il a vocation à contenir des données sensibles (santé, infraction) et pour ces raisons-là, il faut définir jusqu’où on peut aller et là où il ne faut pas aller pour qu’il soit suffisamment équilibré et respectueux. Le curseur devra être défini avec la plus haute précision.

Selon vous, quels sont alors les autres obstacles ?

Le principal obstacle concerne les autorités et la culture de notre société européenne et française. Notre culture est nécessairement intégrée dans la conformité. Elle ne nous permet pas aujourd’hui de rendre acceptable un tel dispositif. C’est possible de le faire, mais la France ne le fera pas, pour des raisons de culture de la donnée et d’éthique. Aucune autorité ne souhaite en Europe, et plus particulièrement en France, être celle qui va autoriser la mise en place d’un tel dispositif. Et pourtant elles le pourraient.

Plusieurs questions se posent : Est-ce nécessaire de recourir à la technologie pour endiguer le Covid-19 ? Quel est l’intérêt de recourir à une technologie aussi intrusive ? Nous avons des instruments juridiques qui permettent de rendre légale la technologie aux fins de lutte contre la fraude fiscale ou contre le blanchiment. Nous avons su leur trouver une base légale, qui est l’intérêt légitime. Or, la présidente de la CNIL, dans un entretien au Monde, a mis en avant deux bases légales pour cette application : le consentement des individus (compliqué à mettre en place pour tous les citoyens) ou une loi, qui devra donc être assez détaillée pour prévoir un dispositif conforme. C’est intéressant qu’elle exclue l’intérêt légitime alors qu’il est reconnu comme base légale pour lutter contre la fraude financière et fiscale. Les autorités sont frileuses à retenir l’intérêt légitime comme base légale sur les sujets de sécurité nationale où la sauvegarde de la vie humaine est sous-jacente, et ce, alors qu’elles le pourraient.

Propos recueillis par Leslie Brassac

Nos engagements