Gérard Haas et Aurelie Puig
La protection des données à caractère personnel semble pâtir des mesures prises pour lutter contre la pandémie actuelle. La collaboration des opérateurs télécoms avec les Etats permettrait à ces derniers de collecter massivement les données de leurs usagers et notamment, les données de géolocalisation.
Différentes applications permettent de « traquer » les personnes atteintes de Covid-19 et laissent planer quelques doutes quant au respect de la vie privée et de la protection des données personnelles. Par exemple, la Corée du Sud avec l’application mobile «Autodiagnostic» contre laquelle le journaliste Stéphane Lagarde[1] met en garde concernant la stratégie de géolocalisation de ses utilisateurs.
Nombreux sont les Etats qui utilisent les données des opérateurs télécoms afin de géolocaliser les contaminés et de mieux lutter contre l'épidémie (Israël, Belgique…).
1. Mais qu'en est-il de la France ?
Le Comité d’Analyse de Recherche et Expertise (CARE) institué par Emmanuel Macron étudie l’opportunité d’un tracking numérique des personnes contaminées (backtracking) afin de suivre la propagation de l’épidémie. Cette géolocalisation se réalise par la fourniture des données GPS anonymisées des utilisateurs par les opérateurs téléphoniques.
Pour lutter contre le virus, beaucoup de pays ont déjà utilisé les données de géolocalisation pour repérer, isoler et traiter les malades. Traquer les contaminés permettrait d’alerter les personnes qui sont entrées en contact avec elles afin qu’elles se fassent dépister et prennent des mesures préventives.
En France, ce sont les Agences Régionales de Santé (ARS) qui recensent les personnes contaminées et les personnes qui ont été exposées. Aucune technologie n’est utilisée pour ce « contact tracing », seulement la mémoire de la personne malade[2].
Puis, l’opérateur Orange a fini par fournir les données GPS anonymisées de ses utilisateurs afin d’aider les autorités sanitaires à mieux modéliser la réalité de la pandémie[3].
Mais la géolocalisation vise un autre but pour certains pays : la répression des personnes contaminées ne respectant pas le confinement. C’est ce que craint l’opinion publique française : une surveillance généralisée. Le défenseur des droits, Jacques Toubon, se dit d’ailleurs inquiet de l’utilisation de la géolocalisation pour lutter contre le covid-19, il déclare dans un entretien que « l’utilisation des caméras de surveillance ou celles des drones qui peuvent mesurer la température des gens qu’ils filment, ou bien encore la géolocalisation des personnes à partir de leurs smartphones, il est clair que nous sommes face à un enjeu considérable : le respect de la vie privée et la garantie du secret médical [4]. »
2. Quelle est la position de la CNIL ?
La loi informatique et libertés modifiée par l’entrée en vigueur du RGPD vient encadrer le traitement des données à caractère personnel, dont les données de géolocalisation font parties, si ces dernières ne sont pas anonymisées.
Pour rappel, le RGPD n’impose pas de recueillir le consentement de la personne concernée si :
- Le traitement est nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis ;
- Le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ;
- Le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ;
De la même manière, si en principe le traitement des données sensibles (données de santé…) est interdit, celui-ci devient possible et ce, sans le consentement, dès lors que « le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique », article 9 du RGPD.
Dès lors, la lutte contre la pandémie rentre largement dans les cas précités.
Actuellement, le gouvernement français planche sur la possibilité de « traquer » les personnes atteintes du Covid-19 et la CNIL ne s’est pas encore prononcée. D’après une note de la présidente de la Commission publiée en partie dans Les Echos, l’anonymisation des données doit être privilégiée dans la géolocalisation des patients.
Pour rappel, L’anonymisation est un traitement qui consiste à utiliser un ensemble de techniques de manière à rendre impossible, en pratique, toute identification de la personne par quelque moyen que ce soit et ce de manière irréversible. Lorsque l’anonymisation est effective, le RGPD ne s’applique plus aux données ainsi anonymisées, celles-ci n’étant dès lors plus à caractère personnel[5].
Dans leur avis de 2014, les autorités de protection des données européennes définissent trois critères qui permettent de s’assurer qu’un jeu de données est véritablement anonyme :
La CNIL précise qu’à contrario du « tracking » de la personne via son smartphone, le suivi des flux de population via les données anonymisées d'un opérateur télécom est plus respectueux des droits et libertés fondamentaux[6].
Si, pour l’instant, l’idée de traquer les individus n’est pas l’urgence, qui se trouve plutôt dans le désengorgement des hôpitaux, cette stratégie numérique pourrait être profitable à la fin de la crise car elle permettrait d’éviter un rebond épidémique.
***
Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner et vous aider Pour nous contacter, cliquez-ici.
[1] Big data contre big virus : des applications traquent les personnes en quarantaine, Stéphane Lagarde.
[2] Coronavirus : la France sur la piste du « tracking » numérique ; Raphaël Proust & Ivanne Trippenbach
[3] Le Monde : surveillance numérique contre le coronavirus, Jacques Toubon s’inquiète de possibles dérives
[4] Jacques Toubon : « Géolocalisation, je dis : attention ! » Propos recueillis par Matthieu Aron – L’Obs
[5] CNIL - L’anonymisation des données, un traitement clé pour l’open data
[6] Les Echos - La CNIL n'acceptera pas tout type de traçage - Florian Dèbes