Covid-19 et traçage numérique : « Les autorités de contrôle sont vigilantes »

Les Petites Affiches : Est-ce légalement possible de déployer des applications de traçage numérique en France ?

Florence Chafiol : Ça l’est oui. Mais sous réserve de respecter le règlement général – européen – sur la protection des données (RGPD) et la loi Informatique et des Libertés en France qui retranscrit le RGPD. Ces textes posent un cadre très strict pour permettre à ce type d’application de voir le jour.

LPA : Quelles sont ces règles à respecter précisément ?

F.C. : La première est de se doter d’une base légale. Il est interdit de collecter les données personnelles d’un individu s’il n’y a rien qui justifie qu’on le fasse. Le RGPD énumère les cas dans lesquels un traitement de données personnelles est envisageable et le lancement de toute application de type Stop-Covid devra s’y conformer.

Dans l’hypothèse du lancement d’une application qui serait obligatoire pour tous les citoyens, il faudrait que l’on ait un texte législatif qui impose et justifie le traitement de ces données. En revanche, en l’absence de texte législatif, dans le cas du développement d’une application qui ne serait pas obligatoire, d’autres bases légales peuvent être envisagées, et notamment le consentement.

La notion de consentement a été renforcée par le RGPD depuis le 25 mai 2018. Désormais quand on se base sur le consentement d’une personne, certains critères doivent être respectés. Premièrement, il faut que ce consentement soit « spécifique ». C’est-à-dire que le consentement soit recueilli précisément pour permettre la collecte de données de traçage. Il faut qu’il soit aussi « éclairé ». La personne qui donne son consentement doit avoir reçu toutes les données lui permettant de consentir de manière appropriée en ayant toutes les informations nécessaires. Ensuite il doit être « univoque » et « libre ».

C’est sur ce critère de liberté que les professionnels s’interrogent. Finalement, ce consentement, sera-t-il vraiment libre ? Pour qu’il le soit, il ne faut pas qu’il y ait de conséquences négatives à refuser de donner son consentement et que celui-ci ne soit pas donné « sous influence » ou vicié par la contrainte. D’autant que pour qu’une application basée sur le consentement procure des résultats fiables et utiles, cela nécessite qu’il y ait au moins les deux tiers de la population qui accepte de l’utiliser et donnent leur consentement.

Enfin, au-delà de cette nécessité de disposer d’une base légale pour pouvoir collecter les données des individus, d’autres éléments doivent être respectés : une durée limitée de conservation des données, une collecte non-excessive des données, et surtout que l’utilisation de l’application ne dure que le temps de la crise sanitaire ou en tout cas le temps nécessaire pour endiguer la propagation du virus. Or tous ceux qui s’opposent à l’exploitation de ces applications s’interrogent : une fois les individus tracés et les informations les concernant récupérées, des détournements de ces informations et utilisations à d’autres fins seront-ils possibles ? Mais là encore il y a des garde-fous.

La CNIL, qui est le gardien du temple, peut aller vérifier, interdire ou suspendre, une application qui ne respecterait pas le RGPD dans l’ensemble de ses dispositions.

LPA : Qu’en est-il de l’accès aux données ?

F.C. : Cela doit être encadré aussi. Il faudra limiter l’accès des résultats de ce traçage à ceux qui en ont impérativement besoin dans le cadre de la lutte contre la crise sanitaire. Il ne faut pas que n’importe qui puisse y avoir accès pour après détourner les résultats et en faire une utilisation différente. Enfin, la sécurité sera aussi une problématique importante. Pour protéger les données et éviter toute violation de données à caractère personnel. Plus largement, il est essentiel que les bases de cette application soient solides pour qu’elles soient inattaquables et inviolables.

LPA : Les autorités françaises privilégient la technologie Bluetooth à celle du GPS. Pourquoi ?

F.C. : L’avantage du Bluetooth c’est qu’il ne récupère des données que quand il est au contact, ou du moins proche, de capteurs. La géolocalisation, avec le système GPS, capte en continu et de manière beaucoup plus intrusive. Aussi, au niveau du Bluetooth, les données vont être chiffrées sur le téléphone de l’individu et l’utilisateur pourra en garder l’usage et désactiver son Bluetooth quand il le souhaite.

En revanche on peut se demander si la technologie Bluetooth sera suffisante pour avoir des données pertinentes. Supposons que les gens désactivent souvent leur Bluetooth, la question se posera.

LPA : Avec le droit français et européen, nous sommes donc à l’abri des dérives chinoises par exemple ?

F.C. : Tout à fait. En Chine les garde-fous ne sont pas du tout les mêmes. Prenez l’exemple récent de la reconnaissance faciale, les lois d’encadrement sont complètement différentes par rapport à celles que l’on a en Europe. C’est beaucoup plus intrusif chez eux. Pour autant, si l’on considère la lutte contre la pandémie actuelle, leur système est peut-être plus efficace. Mais concrètement les mesures prises en Chine sont impossibles à mettre en place chez nous. En France et Europe, les autorités de contrôle veillent et sont très vigilantes sur le sujet.