Coronavirus : les applis de tracing seront-elles conformes au RGPD ?

Les gouvernements européens évaluent la pertinence des applications de tracing pour lutter contre la propagation du coronavirus. Ces applis seront-elles conformes au RGPD ?

Surveillance centralisée vs Alerte pair-à-pair

Bien qu’elles aient vocation à tracer les populations, on peut distinguer deux types d’applications de tracing du coronavirus. Certaines ont pour but de s’assurer que les personnes respectent le confinement et d’autres d’alerter en cas de contact avec une personne contaminée :

• Applications de surveillance du confinement : les applications emploient des données tout d’abord agrégées et anonymisées, collectées auprès des opérateurs téléphoniques. Ainsi, il est possible de restituer les mouvements de la population. Cela permet alors de s’assurer que les mesures de confinement sont respectées, en toute transparence avec les personnes concernées.

• Applications d’alerte en cas de contact : le fonctionnement est différent. Certains gouvernements ont souvent complété le confinement avec des dispositifs de traçage pour s’assurer que la personne contaminée respecte le confinement. Se pose alors la question des enjeux de licéité des mesures, qui doivent être prises légalement dans une logique cohérente et équilibrée, en conformité avec les droits fondamentaux. Pour ces applications, les données de localisation sont employées pour tracer les contacts entre les différents individus. Ces applications ont donc pour ambition d’encourager les gens à se confiner plus qu’à les sanctionner. De plus, pour ces applications, même si deux téléphones ont été à proximité, il ne faut pas présumer qu’il y a eu contamination. En effet, beaucoup d’incertitudes existent encore quant à la contamination du Covid-19 et nombreuses sont les personnes porteuses asymptomatiques. Ainsi, sans tests effectués en masse, les applications de « contact tracing » semblent assez peu efficaces. De plus, les données de localisation peuvent être centralisées ou décentralisées. Certains modèles d’applications de suivi de contact reposent sur des protocoles dits « distribués » ou de « pair-à-pair ». Cela n’offre pas forcément une surveillance généralisée puisque les données de « contact » sont enregistrées uniquement sur les téléphones concernés.

A l’inverse, si des données de contact sont croisées avec les données de localisation pour s’assurer que les individus respectent bien le confinement, l’enjeu est bien évidemment celui d’une surveillance disproportionnée. Dans tous les cas, ces applications nécessiteront la possession d’un téléphone portable. Or, selon une enquête de Statista de 2019, seulement 44% des Français âgés de 70 ans et plus détiennent un smartphone. N’oublions pas de mentionner que les sans domiciles fixes ou les personnes en situation irrégulière ne pourraient, a priori, pas pouvoir être en mesure de télécharger une telle application.

L’Asie précurseur dans le déploiement des applis de tracing du coronavirus

En Asie, l’emploi des technologies a été imposé pour s’assurer du respect des mesures de confinement et sanctionner ceux qui agissaient à l’encontre des préconisations du gouvernement. Une application tout droit venue d’Asie sous le nom de TraceTogether enregistrait les contacts de proximité entre les différents téléphones avec un numéro généré aléatoirement. Israël a également suivi la marche. La Corée du Sud a décidé de développer une alerte transmise aux autorités sanitaires du pays lorsque les personnes ne respectent pas le confinement. Par exemple, cette alerte se déclenche lorsqu’un lieu de forte affluence est fréquenté. Pour Taïwan, c’est un téléphone spécialement remis aux personnes testées positives qui les géolocalise pour que la police soit en mesure de les surveiller. En Italie, une application a été développée pour permettre d’établir l’itinéraire d’une personne atteinte du covid-19 et d’avertir les personnes rentrées en contact avec elle. L’application garantirait selon ses concepteurs la sécurité des données personnelles des utilisateurs. La France a confié cette mission au Comité analyse recherche expertise (CARE), qui a proposé plusieurs solutions et repris l’application « Pan-European Privacy-Preserving Proximity Tracing » (PEPP-PT), créée par des chercheurs européens et basée sur le protocole Bluetooth. Le gouvernement français a accepté celle-ci sous le nom de « StopCovid ». La Commission européenne a, pour sa part, publié une boite à outils commune en vue de l’utilisation d’applications mobiles de traçage des contacts et d’alerte pour la lutte contre le covid-19.

La Cnil favorable sous conditions à l’appli « Stop Covid »

Les applications de traçage sont globalement approuvées par les autorités de protection des données, estimant qu’il est nécessaire de créer une application commune aux États membres de l’Union européenne contre le covid-19. La première interrogation posée par les applications est donc le risque qu’elles font peser sur la protection des données personnelles. Le contrôleur européen de la protection des données a rappelé que le RGPD n’édicte pas un droit absolu à la protection des données et qu’il faut mettre cette protection en balance avec d’autres droits fondamentaux. Ainsi, il est attendu des autorités de protection des données une approche pragmatique dans le cadre de cette crise sanitaire. La présidente de la CNIL, Marie-Laure Denis, retient que l’application « Stop Covid » peut être envisagée si une loi l’encadre et que les règles du RGPD sont respectées. Ainsi, il faut que des principes soient garantis : une finalité déterminée, le respect du principe de proportionnalité, une durée de conservation minimale, le caractère provisoire, la sécurité et le consentement.

Le consentement des personnes tracées sera-t-il nécessaire ?

Le consentement n’est pas nécessairement requis puisque la loi Informatique et Libertés prévoit que le consentement n’est pas nécessaire :

• si le traitement est nécessaire pour respecter une obligation légale à laquelle le responsable de traitements est soumis (art. 5,3°) ;
• si le traitement est rendu nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique (art. 5, 4°) ;
• si un traitement est rendu nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement (art. 5, 5°).

De plus, le RGPD autorise le traitement de données de santé si « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique » (art. 9, 2°, i). Enfin, le consentement des utilisateurs n’est pas nécessaire si « le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée » (article 9, 2°, c). Ces démarches pragmatiques s’appuient sur des déclarations faites au Conseil de l’Europe. Il a été notamment rappelé par Alessandra Pierucci, Présidente du Comité de la Convention 108 et Jean-Philippe Walter, Commissaire à la protection des données que « la protection des données ne peut en aucun cas constituer une entrave au fait de sauver des vies et que les principes applicables permettent toujours de trouver le juste équilibre entre les intérêts en présence« .

Deshoulières Avocats conseille et défend plus de 600 acteurs économiques des nouvelles technologies. Notre cabinet vous accompagne pour toutes les questions juridiques liées aux données personnelles et au RGPD.

DEMANDER UN DEVIS GRATUIT

SOURCES :

• La liste des applications de « contact tracing »
• La boîte à outils proposée par l’Union européenne pour une application efficace
• La déclaration du contrôleur européen de la protection des données
• La position de la CNIL face à l’application StopCovid
• L’enquête Statista de 2019
• Le site du PEPP-PT