FILTRER
Réinitialiser

Solutions numériques de lutte contre le COVID19 : quels enjeux pour la protection de la vie privée ?

21 avril 2020

Dans la perspective d’un « déconfinement » progressif de la population, les gouvernements des différents pays du monde envisagent toutes les possibilités afin d’endiguer la propagation de la pandémie COVID-19. Si le recours aux nouvelles technologies, telle que la géolocalisation des smartphones - pour vérifier le respect des règles de confinement et informer le public sur les foyers géographiques à risques - est l’une des solutions envisagées par les pouvoir publics, la CNIL rappelle la nécessité de respecter les règles applicables à la protection des données.

Face à l’état d’urgence résultant de la crise sanitaire, le déploiement auprès de l’ensemble des citoyens d’une application mobile basée sur la collecte des données de géolocalisation (données qui, rappelons-le, sont qualifiées de « hautement personnelles » par les autorités de contrôle de protection des données) peut sembler légitime au regard des exigences impératives de santé publique. Néanmoins, l’usage de ces solutions numériques questionne également sur la protection de la vie privée des utilisateurs et de leurs données à caractère personnel. La collecte et l’utilisation de données de localisation sont en effet encadrés par le Règlement Général sur la Protection des Données Personnelles (« RGPD ») et la Directive ePrivacy.

Toutes les solutions adoptées par les pays ne visent pas exactement le même but. En Asie notamment, des solutions de tracking ont d’ores et déjà été mises en place pour surveiller de façon massive les déplacements des personnes atteintes du virus ou en contact avec le virus. En Europe, si la Pologne semble avoir suivi ce modèle en choisissant d’opter pour une localisation individuelle du respect du confinement par le biais d’une application mobile obligatoire, l’Italie, l’Autriche, et l’Allemagne, ont quant à eux retenu une approche plus mesurée en privilégiant une localisation collective via l’agrégation de données anonymisées pour étudier les déplacements de la population.

En France, le gouvernement a créé un comité d’experts (comité CARE) aux fins de réfléchir à "l'opportunité de la mise en place d'une stratégie numérique d'identification des personnes ayant été au contact de personnes infectées" pour accéder à l'historique des déplacements des personnes contagieuses. Ces travaux sont actuellement en cours d’étude.

Les technologies diffèrent également et ont une influence sur la nature des données collectées. Certains pays optent pour une application mobile, et donc une géolocalisation via les données provenant directement du mobile, quand d’autres pays ont recours à une triangulation en collectant des données auprès des opérateurs de télécommunications mobiles. Singapour a développé une technologie fonctionnant avec le Bluetooth. La CNIL recommande d’ailleurs cette option dans la mesure où les données sont stockées et directement chiffrées sur le téléphone, ce qui favorise leur confidentialité. Les nouveaux principes de minimisation des données et de protection de la vie privée dès la conception des outils technologiques, tels que prévus par le RGPD, prennent ici tout leurs sens.

Le CEPD a ainsi recommandé de collecter des données anonymisées qui permettraient de générer des cartographies sur la concentration de mobiles de personnes infectées par le virus ou tester positives à certains endroits. Si l’anonymisation des données n’est pas possible, les gouvernements devraient alors prévoir des mesures législatives visant à limiter la portée des droits et des obligations relatives à la confidentialité des données, pour sauvegarder la sécurité publique (article 15 de le directive ePrivacy).

L’autre débat qui entre aussi en jeu est celui de la base juridique du traitement, de l’adhésion au dispositif choisi et de son efficacité. Doit-on recourir à une solution coercitive par le biais d’une obligation légale, ou dictée par l’exécution d’une mission d’intérêt public réalisée dans le domaine de la santé publique ? Doit-on au contraire recueillir le consentement éclairé des citoyens et mettre en œuvre toutes les mesures que suppose cette base légale ?

Se pose encore la question de la durée de conservation des données collectées par les autorités publiques. L’effacement de l’ensemble des données à la fin de l’épidémie serait alors une garantie supplémentaire contre la réutilisation à des fins différentes.

La CNIL n’a pas encore été saisie du projet compte tenu des travaux de réflexion actuellement menés par le gouvernement mais interviewée sur le sujet le 10 avril dernier, et entendue à la Commission des lois de l’Assemblée Nationale, la Présidente de la CNIL a rappelé que cette application devait nécessairement garder un caractère provisoire, permettre l’anonymat et rester baser sur le principe du volontariat afin que les français ne soient pas contraints de télécharger ce type d’application, la possibilité de refus constituant « une garantie indispensable ». Cette dernière piste serait privilégiée par le gouvernement français même si le caractère non contraignant de cette solution pourrait remettre en cause son efficacité réelle.

Dans une certaine cohérence avec la position retenue par la CNIL, la Commission Européenne a publié le 17 avril des orientations exhaustives non contraignantes afin de garantir une approche d’homogénéité dans l’ensemble de l’Union, et garantir le respect de la législation sur la protection des données. Ces recommandations traitent des sujets précédemment évoqués de manière détaillée et différenciée selon les cas d’utilisation des données dans une logique protectrice des intérêts des citoyens (ex : contrôle des utilisateurs sur le téléchargement volontaire de l’application et sur les données collectées, minimisation des données, limitation de la divulgation et de l’accès aux données, finalités précises et durées de conservation strictes, etc.).

Pour terminer et de manière connexe, ces solutions s’intègrent également dans un contexte d’exposition accrue aux attaques informatiques. Certaines autorités nationales telles que l’ANSSI, et plateformes étatiques (comme cybermalveillance.gouv.fr) ont pu à cet effet contribuer à sensibiliser les utilisateurs à des « gestes barrières numériques » (téléchargement d’applications officielles, fiabilité des sites internet, etc.).

Les prochaines semaines seront instructives sur le mode opératoire retenu par les solutions déployées par les différents Etats-membres au cours de ce déconfinement.

Sur la même thématique

Je souhaite être recontacté
close
*Champs obligatoires
close
*Champs obligatoires