Covid-19 et traçage numérique : « Les règles européennes sont protectrices des libertés fondamentales des utilisateurs »

Les Petites Affiches : Quelles sont les règles et contraintes que devront respecter les futures applications, dédiées au traçage numérique pour lutter contre le Covid-19, pour être conformes au RGPD ?

Valérie Aumage : Les futures applications devront répondre aux principes posés par le RGPD ainsi que la directive e-Privacy tels qu’interprétés au cas d’espèce par les lignes directrices du Comité européen de la protection des données (CEPD) et la CNIL.

Le CEPD comme la CNIL ont rappelé qu’aucune application ne pourra être mise en œuvre sans le respect de ces principes fondamentaux. Ainsi, il s’agira de s’assurer que l’application permet de traiter les données des utilisateurs de manière licite, loyale et transparente. Pour des finalités déterminées explicites et légitimes, que les données collectées sont adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités poursuivies ; que les données traitées sont exactes et à jour ; qu’elles sont conservées pour une durée limitée ou encore qu’elles sont traitées de façon sécurisée.

Aujourd’hui, les applications et technologies envisagées sont de trois ordres : celles dont l’objet est de cartographier la propagation du virus, prédire les prochaines zones à risques ou encore aider les autorités à prévoir les prochains besoins médicaux urgents ; celles dont l’objet est de faire respecter les mesures prises par le gouvernement en termes de confinement ou mise en quarantaine ; celles dont l’objet est de retrouver les contacts des personnes potentiellement exposées afin de les avertir et éventuellement les inviter à se faire dépister.

Toutes ces applications, si elles se fondent sur des données de localisation de l’utilisateur, doivent, sauf promulgation d’une mesure législative dérogatoire spéciale prise pour des raisons de sécurité publique, reposer sur le consentement de l’utilisateur. Ce n’est pas le cas bien sûr si les données sont anonymisées auquel cas, elles peuvent être utilisées sans accord préalable des personnes concernées dans la mesure où il ne s’agit plus de données personnelles. Et ce n’est pas forcément le cas non plus lorsque les données utilisées ne sont pas des données de localisation ou d’autres données soumises à consentement obligatoire. Dans ce cas, le consentement des personnes peut ne pas être le fondement légal du traitement de données envisagé. L’intérêt public peut par exemple lui être substitué.

Mais dans tous les cas, et ce quel que soit le fondement légal du traitement, il devra pour être licite répondre à l’ensemble des exigences posées par le RGPD (principe de licéité, de transparence, de proportionnalité, de limitation du traitement en termes de masse de données traitées, de durée du traitement, etc.). Ainsi, l’application devra poursuivre un objectif précis et strictement nécessaire. L’application ne devra pas permettre de traiter des données qui ne seraient pas strictement nécessaires à la réalisation de l’objectif poursuivi ; les technologies utilisées devront être le moins intrusives possibles et assurer la sécurité des données traitées. Idéalement, ces technologies devraient être placées sous le contrôle des utilisateurs. Les utilisateurs devront être parfaitement informés des caractéristiques du traitement dont ils font l’objet (qui est le responsable de traitement ? Quelles est la finalité poursuivie ? Quelles sont les données collectées ? Qui sont les destinataires des données ? Quelle est la durée de conservations de ces données ? Quels sont les droits accordés aux utilisateurs sur leurs données et quelle est la façon dont ils peuvent les exercer…). La conservation des données traitées devra être limitée dans le temps à ce qui est strictement nécessaire à l’accomplissement des finalités poursuivies.

Le type d’application sur lequel la CNIL comme le CEPD se sont le plus attardées à ce stade sont les applications de « contact tracing » c’est-à-dire les applications permettant de retracer les contacts de leurs utilisateurs avec des personnes potentiellement infectées au Covid-19 pour leur indiquer la marche à suivre pour éviter la propagation du virus.

L’objet de l’application envisagée serait uniquement d’enregistrer des événements, à savoir les contacts intervenus, et non les déplacements de l’utilisateur. On a beaucoup parlé à ce titre des technologies bluetooth qui permettraient aux téléphones mobiles des utilisateurs de tracer ces événements sans qu’il y ai lieu de recourir aux données de localisation détenues par les opérateurs télécoms dont l’utilisation est par nature beaucoup plus intrusive pour les utilisateurs.

LPA : Comment qualifieriez-vous les règles européennes en matière de protection des données ? Sont-elles les plus protectrices au monde pour les utilisateurs ?

V. A. : Elles sont protectrices des libertés fondamentales des utilisateurs. C’est notre garde-fou contre big Brother. Elles sont en effet probablement les plus protectrices au monde.

LPA : Ces applications ne pourront être basées que sur la notion de consentement en Europe ? Elles ne peuvent, en aucun cas, être rendues obligatoire ?

V. A. : Pas tout à fait, comme l’a indiqué le CEPD dans ses premières lignes directrices s’il plébiscite les applications fondées sur une utilisation volontaire des utilisateurs, cela ne signifie pas pour autant que la licéité du traitement reposera forcément sur le consentement de l’utilisateur. En effet, le traitement pourrait également – selon la nature des données traitées – être fondé sur un texte de loi spécialement promulgué à cet effet ou sur la nécessité d’exécuter une mission d’intérêt public. Mais dans tous les cas concernant les applications de « contact tracing », le CEPD recommande que l’utilisation prévue ne soit qu’optionnelle pour les utilisateurs qui restent libres d’utiliser ou non l’application sans que cela n’ait de conséquence à leur égard. Il s’agit d’une recommandation partagée par la CNIL sur laquelle elle a insisté dans son audition devant la commission des lois le 8 avril 2020.

Toutefois, on peut s’interroger sur ce que seront les recommandations du CEPD et de la CNIL pour les applications visant à faire respecter les mesures prises par le gouvernement en termes de confinement ou mise en quarantaine. En effet, le volontariat pourrait dans ce cas ne pas être adapté. Mais il conviendrait alors d’être particulièrement attentif à la très stricte conformité de ces applications aux règles imposées par le RGPD de façon à en éviter toute utilisation abusive ou même simplement excessive.

LPA : La sanctuarisation du consentement permettra-t-elle à ces applications d’être réellement efficaces ?

V. A. : L’idée est de favoriser l’adoption massive de ces applications pour qu’elles soient efficaces. Une utilisation de ces applications sur une base volontaire et éclairée est de nature à favoriser la confiance des utilisateurs et donc leur adoption en masse de ce type de technologies par nature temporaire et uniquement liée à un contexte de crise.

LPA : Dans certains pays d’Europe, où le respect de l’État de droit est souvent pointé du doigt pour ses manquements, peut-on être assuré que les règles européennes, et celles du RGPD ne seront pas contournées ?

V. A. :  Tous les États membre sont soumis au RGPD et sont dotés d’une autorité nationale qui suit les recommandations du CEPD, il ne devrait donc en principe pas y avoir d’écart significatif dans les solutions qui seront mises en place.