Le débat que suscite actuellement la possible mise en place par le Gouvernement pour sortir du confinement d’un dispositif de suivi des personnes à partir de leur téléphone portable pour, par exemple, les prévenir d’un éventuel contact avec des personnes atteintes du Covid 19, est un débat classique caractéristique des situations de crise où intérêt public majeur et protection des données se mêlent.
L’Etat depuis qu’il existe a deux missions essentielles à l’égard de la population : assurer sa sécurité et sa santé*. Il dispose à cet égard d’un certain nombre de pouvoirs dont l’exercice dans les démocraties et les Etats de droit doit s’accorder avec la garantie des libertés individuelles et publiques également caractéristique de ceux-ci.
Notre société est davantage habituée à devoir accepter qu’au nom de la sécurité publique, des atteintes plus ou moins importantes soient portées à nos libertés ; les lois successives intervenues au cours des dernières années au nom de la lutte contre le terrorisme en attestent. La situation actuelle est plus inédite puisqu’il s’agit aujourd’hui de préserver la santé publique de la population. Si des débats ont pu avoir lieu lors de l’adoption de la législation sur les maladies à déclaration obligatoire, en particulier le VIH, à la fin des années 1990 et au début des années 2000 sur les modalités de leur dépistage et de leur enregistrement, la pandémie actuelle oblige à poser les termes du débat à l’échelle d’une population entière.
La protection des données personnelles a toujours été une matière reposant sur un équilibre que nous avons jusqu’à présent choisi de préserver ; une balance qui en fonction des poids qui lui sont attribués penche selon les périodes plus vers la sécurité ou la liberté.
Aujourd’hui le contexte sanitaire a déjà conduit le Gouvernement par des textes exceptionnels et au nom de la santé publique à décider le confinement, à limiter notre liberté d’aller et venir ; demain donc il est envisagé de tracer nos déplacements et nos rencontres via nos téléphones portables.
Comment alors assurer l’équilibre de la balance pour qu’elle ne penche pas de façon trop importante d’un côté, le risque étant qu’il est souvent difficile de revenir en arrière : toutes les mesures décidées installant des pratiques de surveillance sont rarement remises en cause, qu’il s’agisse de vidéosurveillance ou de traçage numérique même après que la situation qui les a motivées disparaît.
Les dispositions prévues il y a maintenant plusieurs années consistant à prévoir dans les textes créant certaines bases de données populationnelles une disposition spécifique commandant au responsable de traitement, en cas de circonstances exceptionnelles (atteinte à l’intégrité du territoire ou arrivée au pouvoir d’un régime autoritaire), de détruire le fichier serait aujourd’hui impossible.
Il convient donc de ne pas trop bouleverser l’équilibre de la balance et c’est ce que s’attachent à faire aujourd’hui les autorités.
Alors que certains pays d’Asie, emmenés par la Corée du Sud et Taiwan, ont déjà largement recours à la technologie** pour éviter la propagation du virus Covid 19, l’approche européenne est plus diversifiée et forcément commandée par une culture différente. Certains voient dans les exemples asiatiques des modèles mais n’oublions pas que nous ne vivons pas en Europe dans les mêmes sociétés.
Et au-delà, l’appréciation de la pertinence aujourd’hui de mettre en place de tels dispositifs en France relève de la seule expertise scientifique.
En Europe, l’Allemagne, l’Autriche, la Suisse et plus récemment encore le Royaume-Uni, ont annoncé étudier différentes pistes et faire appel à des géants de la tech comme Amazon, Google, Microsoft ou encore Palentir, champion américain de l’analyse de données, Apple et Google venant ainsi d’annoncer le lancement d’un dispositif de tracking utilisant la technologie du Bluetooth et compatible avec les systèmes iOS et Android. Ce dernier développement pose également la question de la souveraineté des Etats dans la mise en place de ces dispositifs et de l’utilisation des données ainsi collectées, autre débat désormais classique.
En Pologne, le ministère de la Santé a mis en place « Home Quarantine », une application qui exige la prise de selfies tout au long de la journée pour prouver son confinement. L’Irlande, quant à elle, a instauré une application mobile de suivi reposant sur le consentement de l’utilisateur. En Italie, les opérateurs téléphoniques ont mis à la disposition de la Lombardie les données concernant le passage d’un téléphone portable d’une borne téléphonique à une autre, ce qui a permis de constater le non-respect du confinement par la population (sans sanction).
En France, le Gouvernement réfléchit donc à la mise en place d’outils numériques afin de freiner la propagation du virus sur son territoire. Dans un entretien accordé au Monde le 8 avril, Olivier Véran, Ministre des solidarités et de la santé, et Cédric O, Secrétaire d’Etat chargé du numérique, ont ainsi évoqué le projet « StopCovid », piloté par l’INRIA (Institut national de recherche en informatique et en automatique) et qui s’intègre dans le cadre du projet de recherche européen Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) dont l’ambition est de concevoir des applications ayant recours au « contact tracing ». Ce projet vise à développer une application pour « limiter la diffusion du virus en identifiant les chaînes de transmission » en misant sur la technologie Bluetooth (plutôt que GPS). L’application devrait ainsi permettre de retracer l’historique des relations sociales, sans géolocaliser les utilisateurs, afin de prévenir ceux qui ont été en contact avec une personne contaminée.
Certains députés ont de leur côté déposé une proposition de loi visant à la création d’une application permettant d’établir et d’informer quant aux déplacements d’une personne contaminée lors d’une crise épidémique majeure. Celui-ci évoque bien « l’utilisation des données de géolocalisation mobile des utilisateurs », qui devra néanmoins être soumis à leur consentement. L’objectif affiché est le même. Reste à s’accorder sur la technologie.
C’est dans cette optique qu’un Comité analyse, recherche et expertise (CARE) a été créé le 24 mars dernier, avec pour objectif, notamment, d’éclairer les pouvoirs publics dans des délais très courts sur les suites à donner aux propositions d’approche innovantes scientifiques, technologiques et thérapeutiques formulées par la communauté scientifique française et étrangère pour répondre à la crise sanitaire du Covid-19 et vérifier que les conditions de déploiement et de portage sont réunies.
Aujourd’hui, pour l’essentiel, les dispositifs déjà mis en place à l’étranger consistent à géolocaliser les personnes par le biais des données de localisation de leurs téléphones portables afin de s’assurer qu’elles respectent bien le confinement. Ce qui suppose que ces données ne soient pas anonymisées.
Telle ne semble pas être l’orientation retenue par la France qui préférerait au nom de la protection des libertés individuelles une technique moins intrusive pour la vie privée, le succès de ces dispositifs supposant en tout état de cause, une coopération étroite des autorités publiques avec les opérateurs téléphoniques.
En Europe, une telle coopération semble se mettre en place, comme l’a annoncé Thierry Breton, commissaire européen au marché intérieur. En effet, à sa demande, huit opérateurs téléphoniques dont Orange, ont accepté de fournir les données de géolocalisation des téléphones portables à la Commission européenne. Mais selon les indications fournies par le cabinet du commissaire, les données des abonnés aux services de téléphonie mobile ne seraient collectées qu’à des fins statistiques et seraient donc anonymisées.
Cette position est conforme aux préconisations du Comité européen de la protection des données (EDPB) du 19 mars, selon lesquelles les autorités publiques doivent d’abord chercher à traiter les données de localisation de manière anonyme.
Mais parce que nous sommes dans un Etat de droit, toutes ces expériences et celles à venir doivent respecter les principes de protection des données personnelles. Le Comité national pilote d’éthique du numérique qui relève du Comité Consultatif National d’Ethique (CCNE) a rappelé dans un avis du 7 avril dernier*** que si les technologies numériques ont des bénéfices immédiats pour la gestion de la pandémie elle-même et que cette situation justifie qu’il soit apporté des dérogations importantes au droit commun (le recours massif à la télémédecine et au télésoin dans des conditions tout à fait exceptionnelles par rapport aux règles posées dans le code de la santé publique en est un exemple, mais ne manquera pas de générer des problèmes de sécurité des données), il s’interroge sur les conditions d’un traçage numérique des personnes.
Individuel ou collectif, la question de l’obligation faite aux personnes de rester connectées en permanence se posera. La temporalité des mesures est à cet égard un enjeu fondamental et toutes les mesures devront s’inscrire dans une période bien définie et leur durée « la plus limitée possible au regard des finalités poursuivies ».
Dans ses recommandations, le Comité rejoint le respect des principes de protection des données fort bien rappelés par Madame Marie-Laure Denis, Présidente de la CNIL, lors de son audition devant la commission des lois de l’Assemblée nationale le 8 avril. Elle a, à cette occasion, réaffirmé que « les textes qui protègent les données personnelles ne s’opposent pas à la mise en œuvre de solutions de suivi numérique, individualisé ou non, pour la santé publique », mais que l’usage des données de localisation des européens est encadré par un cadre juridique strict composé de la directive ePrivacy et du RGPD et qu’il convient de respecter.
S‘agissant du cadre juridique de la directive ePrivacy, il résulte de ses articles 5 et 9, que le traitement de données de localisation non anonymisées est soumis au consentement. Toutefois, il est possible pour les Etats membres de déroger au consentement par des mesures législatives pour les motifs énumérés à l’article 15 de la directive parmi lesquels se trouve la sécurité publique. Une loi serait donc nécessaire pour rendre un tel dispositif obligatoire.
Le Règlement européen sur la protection des données, le RGPD, permet également d’encadrer le recours à ces moyens exceptionnels et à ce sujet, la Présidente de la CNIL énonce trois exigences qui devront être respectées.
(i) En premier lieu, il conviendra de déterminer la base légale du traitement. La Présidente de la CNIL indique que la première base légale qui vient à l’esprit serait le consentement, tout en ajoutant que le traitement pourrait être fondé sur une obligation légale. Dans ce dernier cas alors, la France devra adopter un texte législatif en conséquence.
(ii) En second lieu, il sera nécessaire de prendre en compte le fait que des données de santé peuvent être collectées. A ce titre, rappelons que la collecte de ces données sensibles est interdite, sauf exceptions parmi lesquelles figurent : le consentement de la personne, les nécessités de prise en charge sanitaire, l’intérêt public dans le domaine de la santé publique ou encore la recherche.
(iii) Enfin, il conviendra de respecter les principes essentiels de la protection des données personnelles (principe de proportionnalité, sécurité, information et respect des droits des personnes, durée de conservation limitée, etc.).
On peut néanmoins s’interroger sur la validité du consentement comme base légale. En effet, pour être valable, le consentement doit être libre et éclairé. Or cette condition ne sera pas si facile à satisfaire dans le contexte actuel, puisque le consentement risque d’être vicié par la contrainte de la peur ou par l’envie d’accéder au déconfinement. Il conviendra dès lors de donner en contrepartie d’importantes garanties aux citoyens qui acceptent de céder temporairement une part de leur liberté au profit de l’intérêt commun : mesures de sécurité élevées pour les opérations d’authentification, de transmission et de stockage (par exemple un tiers de confiance), indépendance du système, anonymisation, absence d’exploitation à d’autres finalités, durée d’utilisation limitée. La CNIL, à qui le gouvernement soumettra la version finale du projet pour validation, veillera au respect de ces principes pour « à la fois asseoir la confiance, créer les conditions d’une acceptabilité sociale de toute technique potentiellement intrusive et garantir la sécurité des personnes ». Ce d’autant que l’efficacité de ce type de dispositif reposera sur une acceptation et une adoption la plus large possible par la population (des millions de français), qui peut ne pas voir d’un très bon œil ces technologies, ou tout simplement ne pas y avoir accès (rappelons que la fracture numérique concerne près de 13 millions de français et nécessiterait la mise en place de mesures alternatives ou d’aide à l’équipement).
« La gestion de la crise se retrouve en tension avec le respect des libertés fondamentales » comme le note le CCNE et si la balance qui commande l’équilibre de la protection des données est conduite au nom de la santé publique à davantage pencher d’un côté, toutes les garanties doivent être prises pour qu’elle retrouve rapidement un équilibre une fois la propagation du virus vaincue et le confinement levé.
Par Jeanne BOSSI MALAFOSSE, avocat associé
Avec la collaboration de Caroline CHANCÉ, avocat, et Camille NICOLAI, stagiaire.
* Principes rappelés dans le Préambule de la constitution de 1946, partie intégrante de celle de 1958.
** En Corée du Sud, les personnes placées en quarantaine sont surveillées grâce au signal de leur téléphone portable par les autorités de police qui sont alertées dès que l’utilisateur s’éloigne de son domicile. Ainsi, le dispositif mis en place va plus loin que la simple géolocalisation des personnes, en instaurant un véritable traçage numérique, aussi appelé « backtracking ».
***Réflexions et points d’alerte sur les enjeux du numérique en situation de crise sanitaire aiguë