L’expérience de pays asiatiques révèle comment l’utilisation des données a contribué à suivre l’épidémie de coronavirus et à réduire sa propagation. Les résultats préliminaires semblent démontrer l’efficacité de la méthode, mais dans quelle mesure porte-t-elle atteinte au droit à la vie privée et à la protection des données1? Alors que des pays européens envisagent d’adopter une approche semblable, il convient de s’attarder aux deux principales hypothèses technologiques avancées pour combattre la Covid-19 – le recours aux données des opérateurs mobiles et le développement d’applications – et à leurs conséquences juridiques.
Les données partagées par les opérateurs de téléphonie mobile
Les autorités publiques s’appuient d’abord sur les données de télécommunication pour surveiller l’évolution de l’épidémie et contrôler les populations. Le recours à ce type de données est susceptible d’avoir un impact majeur sur le droit à la vie privée, à moins qu’elles ne soient préalablement anonymisées.
L’analyse des données anonymisées de géolocalisation
Une première approche, privilégiée par l’Allemagne, l’Autriche ou l’Italie, repose sur l’analyse des données de géolocalisation des opérateurs de téléphonie mobile par les autorités sanitaires ou des chercheurs pour surveiller les déplacements de population (data tracking).
Ces données permettent aux agences de santé publique de visualiser les mouvements importants de personnes, de prédire la propagation géographique de la maladie et d’estimer l’efficacité des mesures de quarantaine. Les données agrégées ont démontré, par exemple, que de nombreuses personnes ont quitté les grandes villes pour se rendre dans leurs maisons de campagne avant que des mesures de confinement plus strictes ne soient adoptées dans certains pays.
L’information est anonymisée avant d’être communiquée par les fournisseurs de services de télécommunication aux autorités sanitaires ou aux chercheurs. La première question à se poser d’un point de vue juridique est donc de savoir si ces informations doivent être considérées comme des données personnelles en vertu du Règlement général sur la protection des données (RGPD).
Le règlement européen ne s’applique qu’au traitement de «données à caractère personnel
»2. Les données personnelles constituent des informations concernant une personne «identifiée
» ou «identifiable
», une personne identifiable étant celle qui peut être identifiée, directement ou indirectement, par référence à un «identifiant
»3.
Les informations relatives à la géolocalisation d’une personne ou d’un équipement lui appartenant constituent indubitablement des données personnelles. Le RGPD considère en effet les «données de localisation
» comme un «identifiant
»4 et, selon la définition avancée précédemment, les informations relatives à une personne qui peut être identifiée par référence à un identifiant constituent des données personnelles.
A contrario, les données qui ne permettent pas l’identification d’une personne ne sont pas considérées comme des données personnelles. C’est le cas des données anonymisées. Elles constituent des informations qui pouvaient servir auparavant à identifier une personne, mais qui ne permettent plus cette identification5. Ces données anonymisées ne relèvent donc pas du champ d’application du RGPD6.
Les données de localisation peuvent ainsi être légalement traitées à condition d’avoir été anonymisées de manière appropriée7. L’anonymisation doit aller au-delà de la simple suppression des numéros de téléphone et des numéros d’identification des terminaux de téléphonie mobile (IMEI) de l’ensemble des données communiquées8, la technique employée doit «empêcher irréversiblement
»9 l’identification des personnes.
L’utilisation des données de géolocalisation non anonymisées
Des États ont préféré une autre approche en s’intéressant non pas à l’ensemble de la population ou à des groupes de personnes, mais au suivi individualisé de leurs citoyens à l’aide de données de télécommunication.
Les mesures d’urgence en vigueur en Israël, par exemple, autorisent une surveillance active des téléphones portables. Les données recueillies auprès des entreprises de télécommunication permettent de recourir à la triangulation pour localiser les personnes qui se sont retrouvées à proximité d’une personne infectée (contact tracing). Après l’analyse des données, les autorités sanitaires avertissent les personnes concernées.
Si les autorités publiques utilisent des données de localisation non anonymisées fournies par des opérateurs de téléphonie, parce que l’anonymisation est impossible ou parce qu’elle n’est pas souhaitée, le Comité européen de la protection des données (CEPD) recommande10 aux États Membres d’adopter des dispositions dérogatoires en s’appuyant sur la Directive vie privée et communications électroniques11, telle que modifiée par la Directive 2009/136/CE12.
L’article 15 de la Directive vie privée et communications électroniques permet en effet aux organes de délibération nationaux de prendre des mesures de sauvegarde pour la «sécurité publique
». Il semble que la notion de sécurité publique inclut, comme le suggère implicitement le CEPD, la santé publique.
Les mesures introduites dans la législation nationale sur cette base juridique doivent être nécessaires, appropriées et proportionnées13. Elles pourraient être considérées comme proportionnées, selon le CEPD, au regard des circonstances exceptionnelles actuelles14.
L’option la moins intrusive dans la vie privée devrait toujours être privilégiée, une condition qui limite la possibilité de suivre constamment tous les déplacements de tous les citoyens – ou même seulement des personnes infectées.
Les États Membres doivent prévoir des garanties adéquates et des recours appropriés s’ils utilisent des données non anonymisées:
- ils doivent indiquer clairement et publiquement les types de données qu’ils requièrent des entreprises de télécommunication;
- ils doivent garantir que les données sont transmises en toute sécurité;
- ils doivent maintenir en tout temps l’obligation de confidentialité; et
- ils doivent s’assurer que l’accès aux données est circonscrit à un nombre restreint de personnes.
Les données traitées conformément aux lois d’urgence adoptées en vertu de la Directive vie privée et communications électroniques devraient être supprimées dès que la situation d’urgence prendra fin.
La Directive vie privée et communications électroniques ne s’applique qu’au traitement de données par des entreprises de télécommunication15. Si les autorités publiques ou des entreprises privées développent des applications pour téléphones portables, la base juridique pour traiter les données de localisation sera différente.
Les services de la société de l’information et la protection des données
Une dernière approche, adoptée par des pays comme la Chine, la Corée du Sud ou Taiwan, est basée sur le suivi individualisé de la santé et des déplacements d’une personne. L’État n’utilise pas seulement dans ce cas de figure la modélisation des mouvements de sa population afin de suivre la propagation du virus. Il recueille un large éventail de données personnelles et sensibles dont le traitement, en Europe, doit s’appuyer sur une base légale appropriée16.
La collecte de données de localisation et de santé par des applications
Les citoyens de certains pays doivent installer une application sur leur téléphone. Après l’avoir personnalisée avec leur nom, leur numéro de téléphone et leur numéro d’identification national, le logiciel suit tous leurs mouvements. Il détermine par géolocalisation si une personne est entrée en contact avec une personne testée positive à la Covid-19, que ce soit dans la rue, dans une salle de classe, au lieu de travail, dans les transports (trains, avions, autobus, etc.) ou dans l’espace privé.
Des applications comme celles-ci permettent de suivre les mouvements des personnes testées positives au coronavirus et de comprendre leurs interactions sociales. Les autorités sanitaires peuvent également s’assurer qu’une personne contaminée, confinée à la maison, reste dans un périmètre déterminé. Si la personne sort de ce périmètre, la police peut être avisée et la personne peut être arrêtée. Les autorités peuvent vérifier si les personnes ont avec elles leur téléphone cellulaire – allumé et opérationnel – en tout temps en les appelant ou en utilisant d’autres méthodes de vérification.
Une autre possibilité est de contraindre la population à remplir quotidiennement un questionnaire de santé. Les citoyens sont interrogés tous les jours sur la présence de symptômes du coronavirus (fièvre, toux, problèmes respiratoires, etc.) et l’application décide s’ils doivent rester à la maison ou s’ils doivent subir un test de dépistage. Les téléphones deviennent des passeports pour aller au travail, prendre les transports en commun, visiter les édifices gouvernementaux ou fréquenter les centres commerciaux en fonction de leurs codes couleur (vert, jaune et rouge). Ils jouent également le même rôle de surveillance que celui mentionné dans les paragraphes précédents pour les personnes confinées.
Il existe enfin des applications développées autour de la technologie Bluetooth, telles que TraceTogether, élaboré par les autorités de Singapour, ou les projets Decentralized Privacy-Preserving Proximity Tracing (DP-3T) et Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) menés par des chercheurs européens. Après avoir été installées, elles permettent de détecter d’autres utilisateurs de l’application qui se trouvent à proximité. L’information stockée sur le téléphone de l’utilisateur, pour une durée déterminée, peut ensuite être utilisée pour le prévenir qu’il a récemment été en contact avec une personne contaminée.
Les bases légales de traitement des données collectées par des applications
Toutes ces applications s’appuient principalement sur le traitement de données d’identification, de localisation et de santé afin d’assurer l’efficacité des politiques publiques avancées au plan étatique. Au sein de l’Union européenne, de telles applications sont considérées comme fournissant un «service de la société de l’information
»17 et les lois générales sur la protection des données leur sont applicables18.
Le traitement pourrait principalement être basé sur le consentement des personnes concernées dans le but spécifique de lutter contre l’épidémie de coronavirus. Le consentement devrait être la base juridique privilégiée dès lors qu’il s’agit de traiter des données de géolocalisation19, selon le Groupe de travail «Article 29» sur la protection des données. Le traitement sera licite si la personne a consenti à la collecte de ses données d’identification et de localisation sur la base de l’article 6 (1) (a) RGPD ou, dans le cas de ses données de santé, sur la base de l’article 9 (2) (a) RGPD.
Ces bases juridiques posent toutefois un problème: le consentement dans cette hypothèse serait-il librement exprimé20 si un gouvernement obligeait ses citoyens à installer l’application? Si l’utilisation de l’application n’était pas obligatoire, qui consentirait librement à être surveillé vingt-quatre heures sur vingt-quatre, sept jours sur sept, y compris dans sa sphère privée?
Une autre base juridique possible pour la collecte des données d’identification et de localisation pourrait être la nécessité de protéger les «intérêts vitaux
» d’une personne ou d’un groupe de personnes21. L’expression intérêt vital
désigne ici «un intérêt essentiel à la vie
» d’une personne22. Elle comprend les menaces à l’intégrité physique ou à la vie d’une personne ou de toute autre personne et la surveillance des épidémies et de leur propagation23.
À défaut d’un intérêt vital, il serait possible d’invoquer l’accomplissement d’une mission d’intérêt public24. L’intérêt public renvoie au bien public et à ce qui est dans l’intérêt supérieur d’un groupe d’individus ou de la société dans son ensemble25. Il serait difficile d’alléguer que la lutte contre une pandémie mondiale ne relève pas de l’intérêt public. La mission d’intérêt public est confiée par la loi à un responsable du traitement ou elle s’inscrit dans les attributions d’une autorité publique.
Les bases juridiques fondées sur les intérêts vitaux ou la mission d’intérêt public soulèvent également des questions importantes, car les données de géolocalisation peuvent être utilisées pour déduire plusieurs informations sur le mode de vie et les choix personnels d’un individu. La surveillance continue des déplacements des citoyens est-elle nécessaire pour lutter contre le coronavirus et proportionnée à l’objectif poursuivi par les autorités nationales? Les autorités sanitaires ou des développeurs d’applications pourraient-ils établir un lien substantiel entre le traitement systématique des données de localisation et l’objectif déclaré de prévenir la propagation d’une épidémie? Existe-t-il un lien logique entre les données traitées et le prétendu objectif légitime? Et, enfin, respecte-t-il le principe de minimisation des données26 qui prévoit que seules les données adéquates, pertinentes et nécessaires doivent être traitées?
Ces dernières bases juridiques ne pourraient être invoquées pour traiter les données de santé, car elles sont considérées comme des catégories particulières de données à caractère personnel27. La nature sensible des données a poussé le législateur européen à adopter un régime juridique spécial pour traiter toute information relative à la santé. La règle générale interdit le traitement de ces données28, sauf sur la base du consentement évoqué précédemment et de certaines exceptions bien définies.
Les données de santé pourraient être traitées dans le cadre de l’exception relative aux intérêts vitaux29 qui est similaire à la base légale mentionnée précédemment. Toutefois, elle ne peut être invoquée que si la personne est physiquement ou juridiquement incapable de donner son consentement. Les données sensibles concernant la santé d’une personne peuvent également être traitées dans le cadre de l’exception de santé publique30 si leur traitement est dans l’intérêt public. Nous renvoyons le lecteur à notre article Les données de santé au temps du coronavirus pour tous les détails à propos de ces exceptions.
«Les règles de protection des données actuellement en vigueur en Europe sont suffisamment souples pour permettre diverses mesures prises dans la lutte contre les pandémies
»31 (notre traduction), écrit Wojciech Rafał Wiewiórowski, le Contrôleur européen de la protection des données. Les défenseurs de la vie privée sont sceptiques quant à la possibilité de traiter une quantité illimitée de données d’identification, de localisation et de santé des citoyens européens. Il faut se demander si un tel traitement est nécessaire et proportionné, même en temps de crise sanitaire. Il peut conduire à une surveillance de masse et créer un dangereux précédent. Un équilibre doit donc être trouvé entre l’intérêt public à lutter contre l’épidémie et le respect des droits individuels et des libertés fondamentales.
* An English version of this article has been published under the title Coronavirus, Contact Tracing, Data Tracking, and Privacy.
1 Charte des droits fondamentaux de l’Union européenne (version consolidée), JOUE C 326, 26 octobre 2012, p. 391, art. 7 et 8.
2 Art. 2 RGPD.
3 Art. 4 (1) RGPD.
4 Ibid.
5 Groupe de travail «Article 29», Avis 4/2007 sur le concept de données à caractère personnel (2007), p. 23.
6 Consid. 26 RGPD.
7 Comité européen de la protection des données, Statement on the Processing of Personal Data in the Context of the Covid-19 Outbreak (2020), p. 2.
8 Comité européen de la protection des données, Monitoring Spread of Covid-19 (2020), p. 2.
9 Groupe de travail «Article 29», Avis 5/2014 sur les techniques d’anonymisation (2014), p. 7.
10 Statement on the Processing of Personal Data in the Context of the Covid-19 Outbreak, op. cit., p. 2.
11 Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE L 201, 31 juillet 2002, p. 37.
12 Directive 2009/136/CE du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs, JOUE L 337, 18 décembre 2009, p. 11.
13 Directive 2002/58/CE, op. cit., art. 15.
14 Statement on the Processing of Personal Data in the Context of the Covid-19 Outbreak, op. cit., p. 3.
15 Directive 2002/58/CE, op. cit., art. 3 (1).
16 La Commisison européenne prône une approche paneuropéenne pour le développement d’applications mobiles: Commission européenne, Commission Recommendation on a Common Union Toolbox for the Use of Technology and Data to Combat and Exit from the Covid-19 Crisis, in Particular Concerning Mobile Applications and the Use of Anonymised Mobility Data (2020).
17 Directive (UE) 2015/1535 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information, JOUE L 241, 17 septembre 2015, p. 1, art. 1 (1) (b).
18 Groupe de travail «Article 29», Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents (2011), p. 9; et David Lefranc, Droit des applications connectées – Applications – Réseau – Interfaces, Bruxelles, Larcier, 2017.
19 Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, ibid., p. 14.
20 Art. 4 (11) RGPD.
21 Art. 6 (1) (d) RGPD.
22 Consid. 46 RGPD.
23 Ibid.
24 Art. 6 (1) (e) RGPD.
25 Consid. 53 RGPD.
26 Art. 5 (1) (c) RGPD.
27 Art. 9 (1) RGPD.
28 Ibid.
29 Art. 9 (2) (c) RGPD.
30 Art. 9 (2) (i) RGPD.
31 Monitoring Spread of Covid-19, op. cit., p. 1.