Olivier Véran et Cédric O, respectivement ministre de la santé et secrétaire d’Etat au numérique, ont affirmé récemment dans une interview accordée au Monde, réfléchir au développement de l’application StopCovid pour smartphone destinée à « limiter la diffusion du virus en identifiant des chaînes de transmission ». Même si le gouvernement affirme n’en être qu’à la phase exploratoire, il s’agit d’un premier pas significatif vers le pistage numérique des malades, communément appelé tracking, en vue de lutter contre la pandémie du Covid19.
Ces méthodes de tracking sont clairement inspirées des technologies déployées très rapidement par un certain nombre de pays asiatiques pour lutter contre la diffusion du virus. La Chine, la Corée du Sud, Taïwan ou Singapour ont utilisé les coordonnées GPS (Global Positioning System) de leurs habitants et/ou la reconnaissance faciale pour lutter contre le virus. Par exemple, en Corée du sud, le gouvernement utilise la géolocalisation : un habitant peut recevoir un SMS l’informant qu’il a croisé, tel jour à telle heure, un porteur du Covid-19. A Taïwan, un système alerte les autorités si un individu en quarantaine éteint son téléphone ou semble se déplacer.
Il faut remarquer que l’évolution de la position du gouvernement sur le sujet du tracking a été spectaculaire. S’il n’était pas question de telles technologies au début de la crise, le mardi 24 mars, le gouvernement mettait en place un nouveau comité qui devait se pencher sur l’opportunité d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées. Le ton était cependant encore très mesuré, affirmant “qu’aucune initiative plus avancée n’a, à ce stade, été prise par le gouvernement”. Aujourd’hui, soit quelques jours après, il s’agit d’un dispositif qui sera clairement déployé par les autorités, et qui semble être en tête de liste des préoccupations du gouvernement.
Face à ces évolutions très rapides quant à l’utilisation des nouvelles technologies et des données des habitants pour faire face à la pandémie, il convient plus que jamais de garder la tête froide. Les cadres juridiques français et européen posent un certain nombre d’exigences en termes d’utilisation des données et de respect de la vie privée, que le sentiment d’urgence et de panique face à la diffusion du Covid19 ne doit pas nous faire oublier. En effet, comme l’exprime Martin Drago, juriste en droit du numérique à la Quadrature du Net : « Quand on observait la Chine il y a un mois, on se disait : jamais chez nous. A présent, on reproduit les méthodes des drones et du confinement. Le risque est de pallier par la surveillance d’autres déficiences, comme le sous-investissement dans l’hôpital ou les défaillances en matériel de protection… Avec un risque de banalisation et de pérennisation ». L’association, bien que connue pour ses positions tranchées sur ces sujets, pointe ici un risque bien réel.
Pour éviter la réalisation de ce risque, un examen attentif des modalités d’utilisation des données personnelles des citoyens par le gouvernement et leur conformité aux garde-fous juridiques instaurés par les différentes législations nationales et européennes doit être fait. Ce n’est que par ce biais que les technologies de tracking pourront être utilisées pour lutter contre la pandémie sans que la précipitation ou la panique ne nous mène à abandonner nos libertés par une surveillance généralisée.
- Le maniement de données sensibles
La première étape dans l’examen des technologies de tracking est d’identifier le type de données qui pourront être traitées par le gouvernement. Et on remarque tout de suite que ces données comprendront potentiellement des données sensibles au sens de l’article 9 du RGPD, qui définit ces dernières comme les données qui révèlent “l’origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique“.
Dans le cadre des technologies de tracking, deux types de données sensibles sont susceptibles d’être mobilisées :
– Premièrement, les données de santé. Les applications permettant l’identification des personnes ayant été au contact des personnes infectées traiteront immanquablement les données de santé de ses utilisateurs.
– Deuxièmement, les données biométriques permettant d’identifier une personne physique de manière unique. En effet, les données biométriques sont définies dans l’article 4 du RGPD comme les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique qui permettent ou confirment son identification unique. Les données de géolocalisation, données comportementales permettant une telle identification unique, peuvent bien être considérées comme tel. Elles représentent, à ce titre, des données sensibles.
L’article 9.1 du RGPD pose un principe d’interdiction du traitement de telles données sensibles, précisément afin de protéger la vie privée des personnes auxquelles elles appartiennent. Le RGPD semble donc être un texte par nature assez défavorable au développement d’applications de tracking, qui traitent des données sensibles.
Des exceptions sont cependant aménagées par le texte. Ainsi, le traitement de données sensibles est notamment possible lorsque :
– La personne a donné son consentement explicite : art. 9.2 a) RGPD.
– Le traitement est nécessaire pour des motifs d’intérêt public important : art. 9.2 g) RGPD.
Remarquons également qu’un autre moyen de traiter des données sensibles tout en étant en conformité avec le RGPD est d’anonymiser de telles données, qui ne sont dans ce cas plus soumises aux exigences du texte. Mais dans ce cas, les données ne serviraient pas le même objectif : il s’agirait de produire un aperçu des mouvements de population sur le territoire et non d’identifier les personnes pour les prévenir d’un contact avec un individu contaminé. Il s’agit d’ailleurs d’une stratégie déjà mise en place par l’État : un accord de coopération a en effet été passé entre Orange et l’Institut National de la Santé et de la Recherche Médicale (INSERM) pour utiliser les données anonymisées des téléphones mobiles afin de lutter contre la propagation du virus.
Que pouvons-nous déduire des développements précédents ? Principalement, que le RGPD interdit par principe le développement et l’utilisation d’applications de tracking, sauf si le traitement que de telles applications mettent en oeuvre entrent dans une des exceptions prévues, ou si les données sont anonymisées.
Ainsi, le RGPD ne ferme pas entièrement la porte au tracking mais l’encadre de manière stricte, précisément pour protéger les libertés et la vie privée des individus. Tout dépendra donc du traitement fait par ces applications, et du type de données utilisées, pour que les garanties soient jugées suffisantes vis-à-vis de la protection des données personnelles et du respect de la vie privée des individus.
- L’application française StopCovid et le consentement
A partir de là, que penser de l’application française StopCovid développée par le gouvernement et mentionnée dans l’interview de Messieurs Olivier Véran et Cédric O au Monde ? Le traitement des données des utilisateurs présente-t-il les garanties suffisantes afin d’être en conformité avec le RGPD ?
Commençons par décrire les fonctionnalités de l’application afin de pouvoir répondre. Premier point, l’utilisation de l’application se fera sur la base du volontariat, et ne sera donc pas obligatoire. Deuxième point, le gouvernement n’utilisera pas les données de géolocalisation des téléphones portables. L’application utilisera le bluetooth, qui, on le rappelle, est une technologie sans fil qui permet de repérer tous les smartphones aux alentours dans un rayon de quelques mètres. La signature de ces smartphones sera stockée dans un historique, et si le propriétaire de l’un de ces appareils qui lui aussi a téléchargé cette application est infecté par le Covid-19, un SMS sera envoyé pour prévenir de ce contact.
Il faut remarquer que si l’application StopCovid n’utilise pas les données de géolocalisation des téléphones portables, elle continue malgré tout de traiter des données sensibles par le biais des données de santé des utilisateurs. Pour être autorisé du point de vue du RGPD, le traitement devra entrer dans l’une des deux exceptions de l’article 9 du RGPD présentées ci-dessus.
Un certain nombre d’observateurs affirment qu’il n’y a, de ce point de vue, aucun problème. En effet, puisque l’utilisation de l’application se fait sur la base du volontariat, ses utilisateurs auront donné leur consentement pour le traitement de leurs données sensibles. Ainsi, le traitement de données effectué par l’application StopCovid serait autorisé au nom de l’exception présente à l’article 9.2 a) du RGPD.
Cette vision est cependant trompeuse. En effet, le consentement est défini par l’article 4. 11) du RGPD, qui dispose qu’on entend par consentement de la personne concernée “toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement”. Remarquons tout particulièrement l’exigence du caractère libre du consentement. Cela signifie simplement que le consentement n’est pas valable si la personne qui donne son consentement est soumise à une quelconque contrainte, qui peut être aussi bien physique que psychologique.
Il est clair qu’un consentement obtenu en période de pandémie le sera inévitablement sous la contrainte de la peur. De même, si le gouvernement décidait de conditionner le déconfinement des individus à l’utilisation de l’application, cela constituerait sans nul doute une contrainte pesant sur les individus. On en déduit que l’application StopCovid ne pourra pas justifier le traitement des données sensibles de ses utilisateurs en mettant en avant leur consentement, qui sera forcément vicié.
- Exiger des garanties
Cela ne veut pas nécessairement dire que l’application StopCovid sera forcément illégale du point de vue du RGPD. En effet, comme rappelé ci-dessus, une autre exception existe dans le texte qui permettrait de justifier le tracking mis en place par le gouvernement.
L’article 9.2 g) autorise en effet un traitement de données sensibles lorsque “le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre qui doit être proportionné à l’objectif poursuivi, respecter l’essence du droit à la protection des données et prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée“.
Mais il faudra alors être bien attentif à ce que toutes les conditions citées par cette exception et qui visent à protéger nos libertés soient bien respectées. Reprenant la structure de l’article, il faudra que plusieurs conditions soient réunies :
– L’épidémie du covid-19 devra d’abord être considérée comme un « motif d’intérêt public important ». Cela ne devrait pas poser trop de difficultés.
– Le traitement devra trouver une base législative appropriée. Une loi devra donc être adoptée pour servir d’assise juridique au traitement.
– Le traitement devra être considéré comme proportionné à l’objectif poursuivi. Il s’agira, pour satisfaire cette condition, de mettre en place un certain nombre de restrictions, notamment de portée et de durée pour que le traitement n’aille pas au-delà de ce qui est strictement nécessaire à l’objectif de lutte contre la pandémie. C’est également ainsi que le traitement pourra « respecter l’essence du droit à la protection des données ».
– Des mesures appropriées et spécifiques devront être prévues pour la sauvegarde des droits fondamentaux et des intérêts des personnes concernées. Une réflexion devra être entamée sur la sécurisation de telles données, et sur l’élaboration de garde-fous visant à éviter que ces données ne violent de manière trop importante la vie privée des individus. De ce point de vue, les garanties procédurales seront particulièrement importantes : les individus devront pouvoir, en toute transparence, connaître l’intégralité des données récoltées, des recours devront pouvoir être menés devant les juridictions administratives pour éviter tout abus, etc…
Ce n’est que si toutes ces garanties sont effectivement assurées dans la mise en place du dispositif de tracking que le gouvernement pourra en effet déployer son application. Et c’est exactement ce que la CNIL indique lorsqu’elle affirme que “si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l’ensemble des personnes concernées, une intervention législative s’imposerait. Il faudrait alors s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (par exemple en termes de durée et de portée)“.
- Vers un dispositif européen ?
Nous avons vu jusqu’ici que le déploiement des technologies de tracking sont soumises à un encadrement strict dans le cadre du RGPD. Si l’application StopCovid développée par la France veut être compatible avec le RGPD afin de respecter la vie privée des citoyens, il faudra redoubler de vigilance pour s’assurer que toutes les garanties nécessaires aient bien été mises en place.
Les inquiétudes liées au développement des applications de tracking sont par ailleurs partagées par le Contrôleur européen de la protection des données (CEPD), qui s’inquiète de la multiplication des applications de traçage numérique mises en place en réponse au Covid-19 en Europe. Il propose le développement d’un outil de traçage à l’échelle européenne, ce qui permettra :
– Une meilleure garantie contre les atteintes à la vie privée en centralisant la mise en place de garanties et la surveillance des dérives.
– Une meilleure efficacité du dispositif, étant donné qu’une approche paneuropéenne apportera de meilleurs résultats.
Pour conclure, il est important de rappeler que nous avons fait collectivement un choix de société, qui s’exprime au travers de diverses législations, tant nationales que européennes : celui du refus de la surveillance de masse, celui de la protection des données personnelles de chacun, celui du respect de la vie privée. Ce choix ne doit pas être remis en cause par le contexte actuel. Aujourd’hui peut-être plus que jamais, il est essentiel de réaffirmer nos valeurs qui mettent au premier plan la liberté de l’individu.
Quentin Roland & Valérie Chavanne