Actualités

Les données à caractère personnel peuvent-elles servir pour endiguer l’épidémie de Covid-19 ? En cette période de crise sanitaire, les pouvoirs publics de divers pays tels que Israël ou la Russie mettent en place des dispositifs exploitant des données de localisation des individus dans le cadre de la lutte contre l’expansion de la maladie.

Si certains dispositifs ont uniquement pour objectif d’analyser les foyers de contamination, la question se pose aujourd’hui d’utiliser ces mêmes données de géolocalisation pour s’assurer du respect des mesures de quarantaine, voir des mesures de confinement par l’ensemble de la population. Si cela n’a pas encore été mis en œuvre en Europe, ce type de mesure drastique a déjà été appliqué ailleurs.

En Israël, pays bénéficiant d’un niveau de protection adéquat au sens du RGPD, les autorités peuvent désormais collecter des données relatives aux personnes porteuses du virus afin de retracer leurs déplacements durant les quatorze jours ayant précédé leur diagnostic. La liste des personnes contaminées et de leurs trajets, publiée par le ministère de l’Intérieur, devaient être consultée par les citoyens, à charge pour eux de se placer en quarantaine en cas de contact avec une personne contaminée. Désormais, au vu de l’augmentation du nombre de cas, le ministère a publié une application mobile dénommée « Hamagen » (« Bouclier ») permettant de collecter les données de localisation des utilisateurs, de les croiser avec les trajets des personnes contaminées et de notifier automatiquement l’utilisateur si une mise en quarantaine est nécessaire. En outre, les autorités disposent également de pouvoirs d’urgence leur permettant de pister le téléphone portable de tout individu et d’envoyer automatiquement un message d’alerte à ceux ayant été exposés au virus.

A Taiwan, depuis le 29 janvier, chaque personne placée en quarantaine s’est vue remettre un téléphone, afin que les autorités puissent contrôler le respect du confinement individuel via la collecte des données GPS. En Corée du Sud, les personnes placées en quarantaine sont incitées à installer une application sur leur smartphone qui permet notamment la transmission en temps réel de leur localisation.

Au regard du niveau élevé de protection accordé aux personnes concernées, le Règlement général sur la protection des données du 27 avril 2016 (le « RGPD ») serait-il possible de mettre en œuvre ce type de dispositifs en Europe et particulièrement en France ?

Des pistes ont d’ores et déjà été envisagées par les institutions européennes. Le Comité Européen de la Protection des Données (« CEPD ») a adopté le 19 mars un avis portant sur les traitements de données dans le contexte de l’épidémie de COVID-19. Dans celui-ci, il rappelle que, concernant l’exploitation de données de géolocalisation, les autorités devraient d’abord se pencher sur la possibilité de traiter des données de manière anonyme plutôt qu’identifiante. En effet, la Directive ePrivacy de 2002 dispose qu’en principe, les données de localisation ne peuvent être traitées « qu’après avoir été rendues anonymes ou moyennant le consentement des utilisateurs ou des abonnés » (article 9 de la Directive).

Pour rappel, sont des données à caractère personnel les données qui permettent directement ou indirectement l’identification des personnes physiques. Ainsi, les traitements de données anonymisées, c’est-à-dire qui ne permettent pas l’identification ou la ré-identification, directement ou indirectement, des personnes physiques, ne sont pas soumis aux dispositions du RGPD.

Le CEPD préconise en particulier d’utiliser des données agrégées de manière à rendre impossible la ré-identification des individus, par exemple pour analyser la concentration de terminaux mobiles dans certaines zones afin d’en établir la fréquentation.

C’est une approche de ce type qui a été retenue en Belgique via la mise en place récente de la « Data Against Corona Task Force ». Dans ce cadre, des opérateurs de télécoms fournissent des « cartes de mobilités » fondées sur l’agrégat de données émises par les téléphones portables des individus. Ces cartes sont ensuite croisées avec les données épidémiologiques dont disposent les pouvoirs publics, afin de permettre de prévoir la propagation du SARS-CoV-2, et ainsi d’adapter au besoin les mesures mises en œuvre dans le cadre de la crise sanitaire, par exemple juger du risque associé à la levée du confinement dans une zone géographique donnée.

De même, dans la région italienne de la Lombardie, l’analyse des données de bornage des téléphones mobiles, là encore agrégées, a permis de constater que seule une partie de la population (60 %) respectait les consignes de confinement.

L’utilisation de données anonymisées connaît toutefois des limites, ce qui conduit le CEPD à envisager les cas où des données à caractère personnel sont traitées. Le CEPD rappelle que l’article 15 de la Directive ePrivacy prévoit la possibilité pour les États membres d’introduire des mesures dérogatoires à certaines dispositions de la Directive, dont l’article 9 précité, notamment « […] pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État – la défense et la sécurité publique […] »  (article 15 de la Directive).

Ces dérogations doivent impérativement s’accompagner de garanties adéquates pour les personnes concernées, notamment l’existence d’un droit de recours juridictionnel et le respect des droits prévus par la réglementation. En outre, le Comité préconise de limiter toute dérogation de ce type à la durée de la situation d’urgence actuelle.

Le Législateur n’a pas introduit de disposition particulière à ce sujet dans la Loi du 22 mars 2020 sur l’état d’urgence sanitaire. Cela s’explique peut-être par le fait que , la loi n°2015-912 du 24 juillet 2015 relative au renseignement  introduisait déjà dans le Code de la sécurité intérieure la possibilité de telles dérogations. Toutefois, comme le souligne l’association La Quadrature Du Net, cette loi a été adoptée antérieurement au RGPD et ne semble pas aujourd’hui mettre en œuvre des garanties suffisantes au regard de la protection des données. Si les  pouvoirs publics français entendent avoir recours à une telle dérogation, ils devraient ainsi mettre en place des garanties supplémentaires. Par exemple, dans le cadre d’une application visant à contrôler le confinement des personnes, il pourrait s’agir notamment de s’assurer que les données de localisation ne sont conservées que sur le terminal de l’utilisateur, soient supprimées à la fin d’une période courte, qu’aucune sanction automatisée ne soit prise sur cette base, etc.

Outre ces considérations propres à l’utilisation de données de géolocalisation, tout traitement envisagé devra plus généralement respecter l’ensemble des dispositions du RGPD, notamment les six principes listés à l’article 5 du RGPD. Le CEPD rappelle d’ailleurs que le principe de minimisation des données (article 5 1. c) du RGPD doit toujours être respecté lorsque sont envisagés des traitements de ce type. Cela implique que doit être retenue la solution la moins intrusive permettant d’atteindre le but recherché, tant au regard des données collectées que des mesures mises en place ou encore de la durée du traitement.

En Grande Bretagne, une application serait actuellement en cours de développement pour atteindre un objectif similaire à l’application déployée en Israël. Notons toutefois que celle-ci fonctionnerait uniquement sur la base du consentement des utilisateurs à fournir leurs données de localisation : un choix qui réduirait sans doute la précision d’un tel dispositif, mais permettrait de lever le doute sur la licéité du traitement des données.

Enfin, en Pologne, les autorités ont lancé il y a quelques jours une application mobile destinée à contrôler le respect des mesures de quarantaine par les personnes en provenance d’une zone à risque. L’application collecte les données GPS du téléphone, afin de vérifier une première fois que la personne se trouve bien à son domicile. Pour s’assurer que la quarantaine est effectivement respectée, l’application envoie également aléatoirement des demandes de selfies à l’utilisateur, qui doit s’y soumettre dans les 20 minutes. En cas de non-réponse, l’application notifie les services de police, qui viennent alors vérifier directement la présence de la personne en quarantaine à son domicile.

Ainsi, le RGPD n’empêche pas la mise en place de dispositifs exploitant des données de localisation des individus afin de lutter contre la propagation de la maladie. C’est sans discussion possible le cas des dispositifs visant à mesurer les rassemblements. En outre et bien que les dispositifs à portée plus individuelle visant à faire respecter les mesures de confinement puissent apparaître comme susceptibles d’enfreindre le RGPD, ce n’est pas notre analyse. En effet, la Directive ePrivacy donne bel et bien aux Etats membres la possibilité d’y introduire des dérogations, et notamment de traiter de données de localisation permettant d’identifier des individus. Cette possibilité étant ouverte « pour la sécurité nationale c’est-à-dire la sûreté de l’Etat, la défense et la sécurité publique », la France, actuellement en « guerre », pourrait utilement s’en saisir.