Des applications de santé sont développées dans le cadre des mesures envisagées pour la phase de déconfinement. Elles visent à étudier les interactions sociales d’une personne et elles pourraient être utilisées comme passeport pour accéder au bureau, aux transports publics ou aux centres commerciaux. Des dispositifs d’abord conçus à des fins sanitaire et sécuritaire risquent de se transformer en outils de surveillance de la population si les principes relatifs à la protection des données sont négligés. Il existe des normes de base que les autorités publiques, les entreprises privées ou les organisations de la société civile qui développent des applications doivent respecter. Une liste de contrôle en huit points.
❶ Être préparé
Le Règlement général sur la protection des données (RGPD) comporte une liste de principes qui vous aideront à développer votre application de manière responsable. Vous devez tenir compte de ces règles au tout début du processus et non après la phase de développement.
La protection des données doit être mise en oeuvre dès la conception et par default1, pour reprendre la terminologie du RGPD. Cela signifie que les choix technologiques et leurs implications pour la protection des données doivent être pris en considération dès les premiers stades de développement. Une application reposant sur la technologie Bluetooth, par exemple, est potentiellement plus respectueuse de la vie privée qu’une application basée sur des données de géolocalisation.
❷ Être licite
Vous devez d’abord déterminer la base juridique appropriée pour traiter les données personnelles collectées par l’application que vous développez (principe de licéité2).
Si l’on prend en compte principalement les données d’identification, de localisation et de santé, quatre bases juridiques vous permettraient de traiter les données nécessaires à la réalisation de votre projet:
- le consentement3;
- les intérêts vitaux4;
- l’intérêt public5; ou
- la santé publique6.
Nous avons déjà traité des différences entre ces quatre bases juridiques (cf. Les données de santé au temps du coronavirus et Coronavirus, traçage des données et vie privée). Vous devez toutefois garder à l’esprit que la base juridique et l’exception liées aux intérêts vitaux s’appliquent à un nombre restreint de cas et que la base juridique fondée sur l’intérêt public et l’exception de santé publique nécessitent l’adoption d’une nouvelle loi si elles ne font pas déjà partie de la législation nationale.
Le consentement devrait être la base juridique privilégiée en ce qui a trait aux données de localisation7. Elle représente aussi la base appropriée pour traiter des données de santé dans le cadre de l’exploitation d’une application s’appuyant sur des informations personnelles pour lutter contre le coronavirus.
Le traitement des données à caractère personnel doit toujours être fondé sur un consentement libre et éclairé8. Ceci exclut la possibilité de rendre l’utilisation de l’application obligatoire ou de pénaliser ceux qui refuseraient de l’installer. Vous devez également vous interdire tout discours culpabilisant pour persuader les gens de télécharger l’application et de s’inscrire pour l’utiliser.
❸ Être loyal
Les données doivent être recueillies dans un but déterminé, explicite et légitime9, qui est en l’espèce d’éradiquer l’épidémie de coronavirus. Le principe de loyauté10 exige que vous utilisiez les données collectées uniquement d’une manière compatible avec cette finalité. Elles ne doivent pas être utilisées à des fins commerciales ou à toute autre fin non prévue initialement.
Plus généralement, les personnes concernées doivent être traitées équitablement, une obligation étroitement liée au respect des droits individuels prévus par le RGPD (voir ci-après).
❹ Être transparent
La transparence est l’un des principes fondamentaux du RGPD11. Il doit être appliqué rigoureusement, surtout en temps de crise, pour préserver la confiance du public.
Vous devez être clairs et transparents sur la façon dont les informations personnelles seront utilisées. Vous devez déclarer publiquement et d’une manière non équivoque:
- quelles données sont traitées (identification, santé, géolocalisation, etc.);
- pourquoi elles sont traitées (description claire du but du traitement);
- qui les traite (l’entreprise ou l’autorité publique qui a développé l’application, des tiers, etc.);
- comment elles sont traitées (localement sur le téléphone, par un serveur centralisé, technologie utilisée, etc.);
- avec qui les données seront partagées (autres autorités publiques, chercheurs, etc.).
❺ Être minimal
La minimisation des données est l’un des principes les plus importants du régime juridique européen de protection des données12. Elle repose principalement sur deux principes juridiques: la nécessité et la proportionnalité.
Vous devez collecter uniquement les données nécessaires pour atteindre l’objectif poursuivi par l’application et vous devez démontrer un lien substantiel entre les données personnelles utilisées et le but déclaré.
Le traitement ne doit pas aller au-delà de ce qui est nécessaire pour atteindre cet objectif et vous devez privilégier les mesures qui s’avèrent les moins intrusives tout en étant appropriées pour atteindre l’objectif.
❻ Être temporaire
Les données ne doivent pas être traitées pendant une période plus longue que ce qui est nécessaire pour mettre fin à la crise du Covid-19, selon le principe de la limitation de la conservation13. Une fois l’urgence terminée, toutes les données liées à la lutte contre l’épidémie devront être supprimées ou détruites en toute sécurité.
❼ Être sécurisé
Votre responsabilité ne s’arrête pas à déterminer la base juridique pour collecter des données personnelles, elle s’étend à toute la durée de vie des données. Vous devez prendre des mesures de sécurité à toutes les étapes du traitement14, qu’il s’agisse de la collecte, de la conservation, de l’étude, de la transmission ou du partage des données.
Vous devez garder en tête la nature des données collectées et prendre conscience du risque qu’elles puissent être utilisées à d’autres fins en cas de piratage, par exemple. Des personnes peuvent être stigmatisées parce qu’elles sont ou ont été contaminées par le coronavirus. Les données peuvent également être utilisées par un assureur pour évaluer le risque, par un employeur pour décider d’embaucher une personne ou par un évaluateur pour déterminer la valeur des propriétés d’un quartier particulièrement touché par l’épidémie.
Vous devez vous assurer que les données collectées sont conservées en toute sécurité, que ce soit sur le téléphone d’une personne ou sur un serveur, en fonction de la technologie utilisée. Cela implique que vous preniez toutes les mesures nécessaires pour assurer la sécurité de l’application et du serveur sur lequel les données sont stockées. L’agrégation, le chiffrement ou la pseudonymisation des données peuvent fournir le niveau de sécurité requis15.
Vous devez également maintenir la confidentialité des données traitées en tout temps. Elle comprend l’obligation d’empêcher l’accès non autorisé ou illicite aux données. Vous devez limiter l’accès aux données à un nombre restreint de personnes.
❽ Être respectueux
La protection des données est un régime juridique complet dans l’Union européenne couvrant la plupart des aspects des questions liées à la vie privée. Vous devez vous conformer pleinement à toutes les exigences du RGPD. Vous devez, entre autres, garantir les droits individuels, comme le droit d’accès16, le droit de rectification17, le droit à l’effacement18 ou le droit à la limitation du traitement19. Vous devez également prévoir des recours appropriés en cas de litige.
Votre application fera une différence si elle est adoptée par une partie importante de la population. Les citoyens accepteront de la télécharger et de l’utiliser s’ils croient que leur droit à la protection des données est respecté. Le développement d’un système de suivi des contacts ou de traçage numérique constitue un défi technologique; il nécessite un investissement tout aussi conséquent dans le respect des dispositions relatives à la protection des données20.
* An English version of this article has been published under the title A Practical Guide to Data Protection.
1 Art. 25 RGPD.
2 Art. 5 (1) (a) RGPD.
3 Art. 6 (1) (a) et 9 (2) (a) RGPD.
4 Art. 6 (1) (d) et 9 (2) (c) RGPD.
5 Art. 6 (1) (e) RGPD.
6 Art. 9 (2) (i) RGPD.
7 Groupe de travail «Article 29», Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents (2011), p. 14.
8 Art. 4 (11) RGPD.
9 Art. 5 (1) (b) RGPD.
10 Art. 5 (1) (a) RGPD.
11 Art. 5 (1) (a) RGPD.
12 Art. 5 (1) (c) RGPD.
13 Art. 5 (1) (e) RGPD.
14 Art. 5 (1) (f) RGPD.
15 Cf. Luk Arbuckle et Khaled El Emam, Anonymizing Health Data – Case studies and methods to get you started, Sebastopol, O’Reilly Media, 2013; et Organisation internationale de normalisation, Informatique de santé – Pseudonymisation, doc. ISO 25237 (2017).
16 Art. 15 RGPD.
17 Art. 16 RGPD.
18 Art. 17 RGPD.
19 Art. 18 RGPD.
20 Cf. Commission européenne, Orientations sur les applications soutenant la lutte contre la pandémie de Covid-19 en ce qui concerne la protection des données (2020); et Comité européen de la protection des données, Lignes directrices 4/2020 relatives à l’utilisation de données de localisation et d’outils de recherche de contacts dans le cadre de la pandémie de Covid-19 (2020).