Afin d’enrayer au mieux l’épidémie du Coronavirus, le gouvernement envisage de mettre en place une application dénommée StopCovid, qui aurait pour finalité de tracer les personnes ayant été en contact avec une personne malade.
Le traçage numérique peut être effectué grâce à des techniques très variées : bornage téléphonique, applications GPS, Bluetooth, cartes bancaires, carte de transport, vidéosurveillance, bracelet électronique, reconnaissance faciale etc….
Il peut poursuivre diverses finalités : cartographie de l’épidémie, identification des sujets contacts, contrôle des confinements individuels (Cf. Traçage des données mobiles dans la lutte contre le Covid-19, Mounir Mahjoubi).
Selon la technique employée, et les finalités poursuivies, le droit applicable est lui aussi susceptible de varier : la Directive 2002/58/CE, et le RGPD.
Directive 2002/58/CE du 12 juillet 2002 (dir. « vie privée »)
Le traçage numérique peut se faire notamment grâce au bornage des téléphones mobiles auprès des antennes relais, ce qui permet de géolocaliser l’abonné.
Dans ses déclarations des 16 et 19 mars dernier, le CEDP rappelle que dans ce cas sont applicables les dispositions de la Directive 2002/58/CE du 12 juillet 2002 (Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques).
Cette directive a été transposée en France notamment à l’article L. 34-1 du Code des postes et des communications électroniques.
Selon ce dernier, les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, doivent effacer ou rendre anonyme toute donnée relative au trafic de leurs abonnés, sous réserve de certains cas : recherche, constatation et poursuite des infractions pénales ; facturation et paiement des prestations ; commercialisation de services ; sécurité du réseau.
Concernant les données qui permettent de localiser l’équipement terminal de l’utilisateur, elles ne peuvent être traitées que dans les cas spécifiques susvisés, ou avec le consentement de l’abonné.
Les données de géolocalisation mobiles ne peuvent par conséquent en principe être utilisées que si elles sont anonymisées, ou avec le consentement de la personne.
En France, ces données ont notamment été utilisées à des fins de cartographier ou de modéliser l’épidémie (partenariat entre Orange et L’Inserm).
Les données ayant été anonymisées, le consentement des personnes n’a pas été nécessaire.
Pour que de telles données puissent être utilisées sans être anonymisées, ou sans le consentement des personnes, il faudrait qu’une loi soit adoptée.
Le CEDP précise à ce sujet que si un Etat membre souhaite déroger aux règles d’anonymat et de consentement, il devra se fonder sur l’article 15 de la Directive, lequel prévoit le traitement de données dans le but notamment d’assurer la sécurité publique.
Enrayer l’épidémie de Covid 19 constitue un but de sécurité publique. Les Etats pourraient ainsi déroger aux principes d’anonymat et de consentement pour notamment utiliser les données de géolocalisation des personnes afin de les tracer individuellement.
Dans ce dernier cas, la mesure adoptée devra néanmoins être nécessaire, appropriée et proportionnée, au sein d’une société démocratique, et offrir tous les recours possibles aux personnes concernées (CJUE – CEDH).
Il ne semble pas que le projet du gouvernement soit d’aller dans ce sens. Il indique en effet que le développement d’une application de traçage numérique « StopCovid » reposerait sur le principe du « volontariat », autrement dit du consentement des personnes.
L’application n’aurait pas en outre besoin des données de localisation mobile, mais utiliserait d’autres techniques : Bluetooth.
Elle aurait enfin pour finalité d’informer les personnes ayant été en contact avec une personne porteuse du Covid19 (contact tracking ou back tracing).
Le RGPD : règlement général sur la protection des données
Lorsque le traçage s’effectue en dehors de l’usage des données des opérateurs de communications électroniques, comme avec la technique du Bluetooth, alors le droit plus général du RGPD est applicable (Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
Le Règlement Général sur la Protection des Données (RGPD) est entré en application dans l’UE en mai 2018, et a été intégré dans notre droit (loi du 6 janvier 1978 « informatique et liberté »).
Ce règlement fixe les règles applicables en cas de traitement de données personnelles, lesquelles sont définies comme toutes données permettant l’identification d’une personne.
En cas de traitement de ces données, la personne responsable doit respecter des principes de base : licéité, transparence, minimisation, proportionnalité, confidentialité, sécurité.
Quant aux personnes concernées, elles disposent de nombreux droits tels que le droit d’être informé du traitement de leurs données, le droit de s’y opposer, de demander leur effacement, ou encore d’effectuer des recours.
Le Règlement prévoit en outre des règles spécifiques concernant les données de santé et biométriques, lesquelles sont particulièrement sensibles.
Ces données ne peuvent être en principe traitées qu’avec le consentement libre et éclairé de la personne, pour sauvegarder ses intérêts vitaux, ou dans certains cas spécifiés par le règlement : droit du travail, sécurité et protection sociale, motifs d’intérêt public important, médecine, santé publique, recherche etc…
Le 8 avril dernier, lors de son audition à la Commission des lois de l’Assemblée nationale, la Présidente de la CNIL, Madame Marie-Laure Denis a rappelé qu’à défaut d’anonymat, le droit applicable au droit des données personnelles devra être respecté.
Elle rappelle que les responsables de traitement devront notamment veiller au respect des principes de base du Règlement.
Elle précise que les moyens mis en œuvre devront respecter les principes d’adéquation, de nécessité, et de proportionnalité.
« Adéquat : il faut que l’instrument mis en place apparaisse réellement utile pour traiter la crise sanitaire.
Nécessaire : l’utilisation de telles données ne doit pas être une solution de confort. Il faut réellement qu’on en ait besoin pour juguler la crise et qu’il n’y ait pas d’alternatives efficaces.
Proportionné : comme l’a rappelé le Comité européen à la protection des données (CEPD), les solutions les moins intrusives doivent toujours être privilégiées. (…) »
Il ressort de ces principes, tels qu’interprétés par le Présidente de la CNIL, que la future application de contact tracing devra faire preuve d’une certaine efficacité sur le plan sanitaire.
Sur ce point, on sait d’un côté, que cet outil sera toujours plus efficace que le traçage effectué sur les seules connaissances de la personne infectée, et des personnes anonymes qu’elle a pu croisé.
Mais d’un autre côté, le succès de cette application dépend de l’importance de son usage au sein de la population.
Or les personnes âgées, plus touchées par la maladie, ne sont pas nécessairement équipées de « smartphones », et/ou capables d’installer, et utiliser des applications.
Par ailleurs, on sait qu’à Singapour, l’application de contact tracing « trace together » n’a pas suffit à enrayer l’épidémie, puisqu’un retour au confinement classique a dû être ordonné.
L’efficacité de l’application n’est pas garantie mais cela n’exclut pas pour autant que sur le plan juridique elle puisse respecter tous les principes susvisés.
Il n’y a pas en effet dans le RGPD une obligation d’efficacité à proprement parler, mais de limitation des finalités, et de nécessité, de proportionnalité des données par rapport aux finalités.
La Présidente de la CNIL rappelle enfin qu’à défaut d’anonymisation des données, une telle application ne pourra fonctionner qu’avec le consentement des personnes concernées.
Ce qui implique que le consentement doit être libre et éclairé : le fait de refuser l’application ne doit avoir aucune conséquence, indique la Présidente.
A notre sens, il faudra surtout que les personnes qui installent l’application soient informées des conséquences de son utilisation, notamment en terme de possibilité d’identification.
Enfin, dans l’hypothèse, peu probable, où le gouvernement décide de rendre obligatoire l’utilisation de cette application, une loi devra être adoptée, dans le respect des conditions visées par le R.G.P.D.
Le droit applicable au traçage numérique apparaît par conséquent bien balisé. Il prévoit des barrières juridiques permettant de protéger au mieux nos droits et libertés. Dans les prochains jours, il conviendra par conséquent d’être particulièrement vigilant, et de suivre le développement de l’application en cours pour examiner sa conformité à notre droit.
Arnaud DIMEGLIO
Avocat à la Cour, Docteur en droit, Titulaire des mentions de spécialisation en droit de la propriété intellectuelle, droit des nouvelles technologies, droit de l’informatique et de la communication.
Bureau principal : 8 place St. Côme, 34000 Montpellier,
Bureau secondaire : 10 avenue de l’Opéra, 75001 Paris,
Tel : 04.99.61.04.69, Fax : 04.99.61.08.26
http://www.dimeglio-avocat.com