Coronavirus et stratégie numérique d’identification des personnes : quels enjeux pour la protection des données ?

« C’est lorsqu’il parle en son nom que l’Homme est le moins lui-même, donnez-lui un masque et il vous dira la vérité. », avec le drame du Covid-19, n’en déplaise à Oscar Wilde, la France aura malheureusement besoin autant de masques que de vérité… Dans le silence des hommes, et dans l’urgence sanitaire, c’est, semble-t-il, à la technologie que le Gouvernement souhaite confier voire déléguer la connaissance de la vérité de leurs déplacements afin d’assurer leur sécurité^[1].

La géolocalisation des infectés, contagieux, porteurs sains et pourquoi pas des réfractaires au confinement serait rendue possible, bref potentiellement de tous pour le bien de tous eu égard au caractère pandémique du coronavirus. Dans ce contexte, le Gouvernement français a indiqué en début de semaine la création d’un comité d’analyse recherche et expertise (CARE) composé de médecins et de chercheurs afin notamment, d’envisager le déploiement d’une « stratégie numérique d’identification des personnes ayant été au contact de personnes infectées ». Au niveau européen, plusieurs opérateurs télécoms ont accepté de partager avec la Commission européenne les données de localisation agrégées et anonymisées des utilisateurs grâce aux téléphones portables afin d’enrayer la propagation de la maladie.

Contrairement au confinement qui se base sur la localisation en temps réel de la personne dans son habitation, la stratégie numérique d’identification vise à « contrôler les flux », et non plus simplement les déplacements^[2]. Le Gouvernement souhaitant réactiver la figure carcérale du panoptique^[3], pour contrôler les mouvements des populations^[4].

Une telle stratégie de contrôle non plus des déplacements, mais des flux, pourrait avoir recours aux données de localisation des personnes concernées – des méthodes similaires ont été constatées dans d’autres pays tels que la Belgique, la Corée du Sud ou encore Israël^[5].

En France, le déploiement de mesures massives de collecte de données de santé et de géolocalisation ne semble pas, pour l’heure, accepté :, en témoigne l’amendement proposé au Sénat autorisant – très largement – « toute mesure visant à permettre la collecte de traitement de données de santé et de localisation » pour une durée de six mois, lequel n’a pas été repris au sein de la loi n° 2020-290 du 23 mars 2020 d’urgence pour faire face à l’épidémie de covid-19.

Pour autant, l’impératif de gestion de la pandémie aura très vite raison de la méfiance sociale. Dans cette perspective, les déclarations du Gouvernement montrent que l’idée d’un tel traitement ne semble toutefois pas abandonnée, ni d’ailleurs exclue par le Comité européen sur la protection des données dans un récent communiqué [6]. Force est de constater que « le diable est dans les détails » pour reprendre l’expression de F. Nietzsche, et que les contours de telles mesures n’ont à ce jour, pas été précisés par le pouvoir exécutif ni par le comité de chercheurs et médecins.

Ainsi, le principe d’un recours à la géolocalisation non anonymisée pour  – tenter – d’enrayer la pandémie de coivid-19 appelle des commentaires en matière de protection des données personnelles.

Sur la base légale du traitement

L’on se souvient que la CNIL a mis en demeure, en 2018, plusieurs sociétés pour défaut de recueil du consentement s’agissant de l’utilisation d’outils techniques « SDK » permettant notamment de collecter des données de géolocalisation des personnes à des fins de ciblage publicitaire.

Un tel consentement est-il nécessaire lorsque les données sont collectées aux fins d’enrayer une pandémie ?

Pour rappel, l’article 6 du RGPD précise qu’un traitement n’est licite que s’il répond à l’une des conditions suivantes dont notamment, le consentement de la personne concernée, la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ou encore, l’exécution d’une mission d’intérêt public.

S’agissant de la gestion d’une crise sanitaire, le considérant du 46 du RGPD semble apporter un éclairage intéressant : « Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d’urgence humanitaire, notamment les situations de catastrophe naturelle et d’origine humaine. »

Il semble donc ainsi que le RGPD puisse justifier un tel traitement aux fins de suivi de la propagation et de l’épidémie du Covid-19, ce d’autant que ces deux exceptions ne sont pas – à l’instar de l’exception relative aux intérêts légitimes du responsable du traitement – soumis à la balance des libertés et droits fondamentaux des personnes concernées qui aurait pu être argumentée s’agissant d’un traitement aussi intrusif que la géolocalisation.

Sur la collecte de données dites « sensibles »

Par ailleurs, et dans la mesure où l’objectif de ce traitement est de déterminer les éventuels contacts avec des personnes infectées et testées positives au covid-19, il existe de fortes probabilités pour que des données de santé soient collectées.

Or, conformément à l’article 9 du RGPD, le traitement de telles données est par principe interdit. Il est toutefois autorisé lorsque le traitement « est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique » (RGPD, Art. 9. 2).

On notera par ailleurs le considérant n° 53 du RGPD qui précise que  : « Les catégories particulières de données à caractère personnel qui méritent une protection plus élevée ne devraient être traitées qu’à des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble, notamment (…) à des fins de sécurité, de surveillance et d’alerte sanitaire. »

Si le traitement de telles données semble pouvoir être autorisé par le RGPD, il n’en demeure pas moins qu’il conviendra de respecter les obligations cette réglementation au nombre desquelles l’on compte la réalisation d’une analyse d’impact lorsque le traitement susceptible d’engendrer des risques élevés pour les droits et libertés des personnes physiques – ce dont il semblera difficile de s’affranchir la CNIL prévoyant au titre des traitements pour lesquels une analyse d’impact est nécessaire, les traitements de données de localisation à large échelle. Or, la réalisation d’une telle analyse doit être effectuée avant le traitement, ce qui ne pourra que soulever des problématiques pratiques dans le contexte d’urgence sanitaire actuel.

Le RGPD semble ainsi disposer d’arguments justifiant  l’utilisation de données personnelles dans un contexte pandémique – tout comme la directive « e-privacy » qui, si elle précise qu’en principe, les données de localisation des utilisateurs ne doivent être utilisées qu’à condition d’avoir été anonymisées ou que l’utilisateur ait donné son consentement, indique toutefois qu’il peut y être dérogé lorsque la mesure est nécessaire, appropriée et proportionnée au sein d’une société démocratique, pour sauvegarder notamment la sécurité nationale[7]. 

Toutefois, il conviendra de rester attentif à l’interprétation qui pourrait être faite de ce principe de proportionnalité notamment, lequel est également prévu par le RGPD, au regard du caractère particulièrement intrusif de la localisation [8].

Cependant - et fort heureusement - la France, ainsi que les autres pays du monde, se trouvent confrontés à une épidémie telle, qu’il n’est pas aisé d’anticiper les éventuelles observations des autorités de contrôle et juridictions quant aux traitements de données de localisation réalisés dans ce cadre, d’autant que l’état d’urgence sanitaire[9], comme état d’exception^[10], risque de modifier profondément l’état du droit…

Il est à souhaiter que l’état d’exception ne devienne pas la condition normale, non plus que la délégation de la « décision » à des comités scientifiques ou à des intelligences artificielles traçeuses aussi éthiques soient-ils : se contenter de suspendre la vie ou la « datacollecter », fusse pour la protéger, peut générer un désastre tant pour l’économie que pour les individus.

Si certaines mesures se trouvent justifiables par nos outils juridiques, reste à se demander si celles-ci sont justifiées, de sorte qu’il est à espérer que les libertés publiques ne soient pas solubles dans le coronavirus.

« Donne-moi la force de changer ce que je peux changer, le courage de supporter ce que je ne peux pas changer et la sagesse de distinguer l’un de l’autre »[11].

[1]              F. Gros, Le principe sécurité, Gallimard, p. 1.[2]              G. Deleuze, « Post-scriptum sur les sociétés de contrôle », L’autre Journal., vol. 1, 1990, pp. 2-5[3]              M. Foucault, Surveiller et punir, Gallimard, 1975, p. 318.[4]              M. Foucault, Sécurité, territoire, population: cours au Collège de France, 1977-1978, Gallimard, 2004, p. 435.[5]             Site Cyberguerre, page d’accueil : « Coronavirus : pourquoi Israël a deux outils pour traquer les déplacements des malades », 23 mars 2020, à consulter en page d’accueil du site : cyberguerre.numerama.com https://cyberguerre.numerama.com/4076-coronavirus-lapp-publique-pour-traquer-les-malades-a-t-elle-un-interet.html[6]        Voir page 3 de la Déclaration sur le traitement des données à caractère personnel dans le cadre de l'épidémie de COVID-19, adoptée le 19 mars 2020.[7] Voir en ce sens les articles 9 et 15 de la directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002.[8] On indiquera à cet égard que le Comité européen de la protection des données, dans un communiqué du 19 mars dernier, rappelait l’application de ce principe de proportionnalité qui suppose ainsi que si des mesures invasives sont mises en place, il conviendra d’assurer des garanties afin d’assurer le respecter des principes de protection des données.[9]         Loi n° 2020-290 du 23 mars 2020 d'urgence pour faire face à l'épidémie de covid-19.[10]       G. Agamben, État d’exception, Seuil, 2003.[11] Attribuée à Marc-Aurèle.