Coronavirus : Un backtracking sanitaire pourrait-il avoir raison du RGPD ?

CORONAVIRUS : UN BACKTRACKING SANITAIRE POURRAIT-IL AVOIR RAISON DU RGPD ?

Article rédigé le 9 avril 2020 par Me David Lecomte

Le backtracking, c’est le « retour sur trace » qui permet de remonter dans l’historique des déplacements des personnes.
Plusieurs pays de l’Union européenne considèrent qu’il est, aujourd’hui, vital de géolocaliser leurs populations pour mieux comprendre et contrôler la propagation du Covid-19 et pour mieux anticiper l’acheminement des équipements médicaux.
Dans un premier temps, le 16 mars 2020, le Comité européen de la protection des données (CEPD) qui a notamment pour mission de garantir l’application cohérente du RGPD, a rappelé que « même dans ces circonstances exceptionnelles, le responsable du traitement doit garantir la protection des données des personnes concernées ».
Mais, dès le 19 mars, le CEPD a reconnu que l’urgence liée à la pandémie pouvait légitimer des traitements qui restreignent des libertés à condition qu’ils soient proportionnés et limités dans le temps, et que ces traitements s’inscrivent dans le respect des législations nationales.

 

 

Les français accepteraient-ils que la crise sanitaire mondiale justifie que leurs données à caractère personnel soient accessibles sans leur consentement pour notamment observer leurs mouvements récents dans le cadre du confinement ?

Selon un récent sondage BVA commandé par le cabinet Sia Partners, cabinet de conseil en intelligence artificielle, trois français sur 4 seraient favorables à la géolocalisation de leurs données individuelles s’ils étaient contaminés. Quelques jours auparavant, un tiers des français était favorable au suivi de leurs données, ce qui constituait déjà une évolution de dix points en huit jours !

Le résultat de ces sondages peut paraître étonnant quand beaucoup se sont émus de recevoir un message « alerte Covid-19 », sans le recueil de leur consentement.En effet 80 millions de sms ont été envoyés entre les 16 et 18 mars. La CNIL a considéré que le rappel des consignes de sécurité était justifiéen se fondant sur l’article L. 33-1 du code des postes et des communications électroniques qui prévoit « L’acheminement des communications des pouvoirs publics destinées au public pour l’avertir de dangers imminents ou atténuer les effets de catastrophes majeures». Par ailleurs, les numéros n’ont pas été communiqués à l’Etat. Ce sont les opérateurs qui ont été chargés d’envoyer le sms.

 

Alors quelle stratégie numérique d’identification des personnes ayant été au contact de personnes infectées, pourrait être mise en place en France ?

La France envisagerait pour l’instant, une géolocalisation des malades volontaires via l’option Bluetooth et non par les bornes relais ou les données GPS. Une application utilisant la technologie Bluetooth, pour détecter si un autre téléphone équipé de la même application, se trouve à proximité immédiate, apporte, selon la présidente de la CNIL, plus de garanties qu’une application géolocalisant en continu.

A ce jour, la CNIL n’a été saisie d’aucun projet par l’Etat et n’est pas membre du Care, ce comité qui conseille l’exécutif sur la gestion de l’épidémie de coronavirus.

La présidente de la CNIL distille ici et là, des recommandations en suggérant par exemple, de détecter l’exposition au Covid-19 autrement que par la collecte de la géolocalisation.

En effet, en Allemagne ou en Autriche par exemple, les opérateurs téléphoniques transmettent des données individuelles aux autorités, mais ces données sont agrégées et anonymisées. C’est d’ailleurs selon cette méthode que les autorités françaises ont pu établir que 17% des parisiens avaient quitté Paris suite à l’annonce du confinement.

Par ailleurs, le contrôleur européen de la protection des données, autorité de contrôle de l’Union Européenne, a préconisé le 6 avril, la mise en place d’une application mobile paneuropéenne pour suivre la propagation du Covid-19.

Pour lui, une solution paneuropéenne, soutenue par l’Organisation mondiale de la santé, protégerait davantage la vie privée au regard des disparités technologiques.

Mais de là, à pratiquer le suivi des personnes comme en Corée du Sud, en Iran, à Singapour, Hong Kong ou encore Taïwan, ou le « contact tracing » comme en Inde ou au Bahreïn, cela semble difficilement compatible avec notre droit et notre culture.

 

Quel est le cadre juridique actuel ?

Il est dicté par la directive 2002/58/CE du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques.

L’utilisation de la géolocalisation GPS est envisageable si les personnes concernées ont consenti au traitement ou si les données sont anonymisées avec une impossibilité totale de réidentification des personnes.

Si un Etat voulait recourir au backtracking, l’article 15 de la directive susvisée impose une intervention législative spécifique.

Cela impliquerait de respecter les conditions prévues par l’article 8 de la Convention européenne des droits de l’homme : toute ingérence dans l’exercice du droit au respect de la vie privée doit constituer une mesure qui, dans une société démocratique, est nécessaire à la protection de la santé.

Cette ingérence ou restriction devrait alors être appropriée et proportionnée au but à atteindre. Il va de soi que des garanties seraient à prévoir, comme une supervision de cette mesure par une autorité indépendante ou le droit à un recours effectif.

Deux sénateurs, Bruno Retailleau et Patrick Chaize, ont tenté d’inciter à ce traçage numérique en déposant un amendement qui a été rejeté.

 

L’amorce d’un changement de paradigme ?

La mise en place d’un tel dispositif serait véritablement un changement de paradigme.

L’équilibre fragile entre la nécessité de lutter contre la pandémie et les libertés publiques pourrait s’effondrer même si la CNIL a déjà affirmé qu’elle veillerait à ne pas pérenniser des dispositifs exceptionnels.

 

Les fichiers comportant des données liées à une pandémie doivent-ils aujourd’hui échapper au champ d’application du RGPD comme les fichiers liés à la sécurité publique ?

La CNIL a peu de prise sur ces fichiers « police », en particulier les traitements mis en œuvre aux fins de collecte de renseignement. Leur contenu échappe au contrôle de la CNIL et régulièrement des manquements y sont constatés à cause du pouvoir de contrôle limité d’autorité de contrôle : fichiers mis en œuvre en dehors d’un cadre légal, durées de conservation non respectées, absences de mise à jour, accès non encadrés, données excessives, qualité insuffisante de ces données, catégorisation imprécise, fuites de données…

Si la France décidait d’opter pour le backtracking, une telle mesure intrusive ne serait acceptable d’un point de vue juridique, éthique et sociétal, qu’avec la mise en place de garanties dignes d’un Etat de droit : création du traitement par le législateur et non le gouvernement pour éviter l’arbitraire, transparence démocratique, contrôle indépendant et global par une autorité et droit à un recours effectif.

 

La lèpre, les pestes, la variole, les grippes ont justifié dès le Moyen-Age le recours à la contrainte pour imposer l’hygiène et la salubrité publiques, la protection collective de la santé devenant au fil des siècles un élément de sécurité intérieure.

Après la seconde guerre mondiale, la santé devient plutôt une créance accordée au citoyen au point que même la vaccination devient un choix individuel et non plus collectif au nom du principe de la libre disposition de soi.

Finalement, cette crise nous rappelle que la santé publique est d’abord une composante de l’ordre public. Le coronavirus est un facteur de désordre et le nombre élevé d’amendes pour violation du confinement peut laisser entendre qu’il existe des délinquants sanitaires. Ainsi la protection de la santé publique est une condition du maintien de l’ordre public.

Aujourd’hui nous redécouvrons une évidence : le droit le plus sacré est le droit de vivre et l’Etat de droit libéral nous avait fait oublier qu’il existe un ordre public sanitaire, certes fondamentalement distinct de l’ordre public traditionnel au sens de la police générale, mais qui peut notamment justifier, du moins temporairement, un rééquilibrage du balancier sécurité-liberté et donc des dérogations aux règles relatives à la protection des données à caractère personnel !

Mais ce rééquilibrage, ces dérogations doivent être à la hauteur d’un Etat de droit dans lequel le Parlement doit jouer pleinement sa mission de contrôle de l’action du gouvernement, y compris en situation d’état d’urgence sanitaire.