mail_outline Lettre d'informations search Rechercher
Ulys logo
Ulys logo
menu MENU

Cabinet d’avocats franco-belge, moderne et humain,
au service de la création et de l’innovation

9 pôles d’activités dédiés au
droit de la création et de l’innovation

Nos activités scientifiques & académiques

Faisons connaissance !

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

Tracing des citoyens comme stratégie de déconfinement : les balises du Comité Européen de Protection des données (CEPD/EPDB) et de la Cnil

Publié le par - 1259 vues

L’EPDB (European Data Protection Board), qui regroupe les Autorités de Protection des Données Européennes, a émis des lignes directrices ce 21 avril 2020 qui permettront aux développeurs, aux politiques et aux autorités de contrôle de mieux mesurer les balises de développement de l’application et de faciliter son contrôle par toute institution compétente mais aussi, par le citoyen et ses émanations. Depuis la Cnil a également émis un, avis sur le projet d’application « stopcovid ».

Pour aller plus loin après l’opinion publiée ce 23 avril, nous vous proposons de revenir sur les conditions juridiques auxquelles devraient être soumises les applications et traitements de « contact tracing ». On sait que le monde politique et ses experts ont sorti de leur chapeau une solution miracle : un « contact tracing » volontaire des citoyens via une app sur leur téléphone mobile afin de leur permettre de prévenir tout autre porteur de l’app qu’ils ont été en contact avec une personne infectée et prendre les mesures qui s’imposent dès lors qu’ils sont reconnus comme personne « à risque ».  Pourtant, le moins que l’on puisse dire, c’est que cette « solution » pose questions, notamment quant aux risques de violation de la vie privée.

Que le système soit intrusif dans nos vies privées et nos libertés d’association et de déplacement est une évidence. Le principe même de l’application consiste à organiser une énorme collecte de tous les contacts que chaque utilisateur a eu avec d’autres utilisateurs de l’application et, comme la Cnil le souligne, a vocation à s’appliquer à la plus grande partie de la population possible (p. 2 in fine).

Qu’il puisse en outre être utilisé de manière discriminatoire en est une autre, soulignée aussi par la Cnil (p.5) : faudra-t-il que je prouve être utilisateur de l’application pour me permettre un déconfinement et retourner au travail ? Et si je refuse, aurais-je accès au test de la même manière que les utilisateurs ? etc. Le risque de détournement et de réutilisation d’un tel système en vue de la récupération des données -par l’Etat ou un tiers- pour un autre but que la protection de la santé publique dans une période de déconfinement relève aussi de l’évidence.

Qu’il puisse enfin servir de base, une fois accepté socialement dans le cadre de la croisade contre la pandémie, au développement ultérieur d’autres systèmes en vue d’autres finalités (lutte anti terroristes demain, lutte anti-fraudes après-demain et pourquoi pas, un jour, la surveillance des opposants et de tous ceux qui ne pensent pas « correctement ») est un risque qui doit être réalisé par tous. Il aura, qu’on le veuille ou non, valeur de précédent. Or, l’expérience en matière de nouvelles technologies démontre que les portes ouvertes ne se referment jamais…

Les Guidelines du Comité Européen de Protection des Données (CEPD/EPDB) permettront assurément de baliser le contrôle des applications potentielles. L’avis de la Cnil sur l’application « Stopcovid » s’y réfère déjà explicitement.  Ces documents confirment par leur existence et leur contenu même, tant les dangers de l’utilisation potentielle de ces applications, que la complexité des solutions qui devront être mises en place pour, le cas échéant, les neutraliser.

L’occasion de reprendre les termes du débat à l’aune des principes juridiques de base applicables en cas d’atteintes aux libertés fondamentales, dont la protection des données et de la vie privée font partie. Et d’en appeler aux garanties contenues dans le RGPD qui rassemblent le régime harmonisé européen de la protection des données à caractère personnel.

Les applications projetées

Il est difficile de décrire et raisonner sur des applications dont les caractéristiques et modalités de déploiement et d’utilisation sont encore en pleine évolution (cfr la Cnil qui demande une seconde saisine une fois que seront arrêtées les modalités définitives du dispositif « Stopcovid » qui fonctionne sur la base d’un protocole dit ROBERT). Du reste, leur efficacité – et leur dangerosité pour les libertés individuelles – seront directement dépendantes de choix organisationnels et techniques qui doivent encore être arrêtés. Gageons que les projets en cours vont du reste devoir évoluer pour répondre aux exigences des Guidelines et avis des Autorités qui viennent d’être publiées ou sont en cours d’élaboration.

Par « contact tracing », on désigne ici un système qui permet d’informer toutes les personnes qui ont été en contact rapproché avec un porteur du virus, grâce à une application présente sur son smartphone, afin qu’ils prennent les mesures sanitaires qui s’imposent (cfr la définition qui en est donné dans l’annexe des Guidelines). La personne entrée en contact avec celle qui s’avère malade est qualifiée de « personne à risque » (elle présente en effet un risque d’être porteur du virus et d’accélérer la diffusion de l’épidémie de par son « contact » antérieure avec la personne maintenant reconnue malade).

Comme le souligne la Cnil, il ne s’agit pas de suivre les personnes diagnostiquées positives en recourant à des techniques de géolocalisation (p.2).  L’annexe des Guidelines de l’EPDB confirme que l’application ne pourrait pas utiliser des données de géolocalisation, sauf pour interagir avec d’autres applications dans d’autres pays (Annex, DATA-6).

Diverses techniques doivent être utilisées pour suivre la personne au gré de ses rencontres (bluetooth, réseau de télécomunications mobile, serveur centralisé ou non etc). L’application est liée à nos smartphones et donc tributaires aussi des conditions techniques de gestion et de sécurité des applications Androïd de Google et IOS de Apple, pour citer les plus courantes. Les applications pourront sans doute être téléchargées au départ des plateformes des deux géants (Appel Store et Play store). Les Guidelines recommandent cependant la prudence dans l’utilisation des services de notification de celles-ci (Annex SEC-2). Il faut dire que jusqu’à présent, ces partenaires US, ne se sont pas distingués par leur zèle au respect de la protection des données… (vous vous souvenez du scandale des écoutes de Siri sur Apple ?). Mais qu’il est certain que ces projets – et leurs développements ultérieurs – les intéresse particulièrement.

On utilise donc la capacité de deux smartphones à se reconnaître lorsqu’ils sont à proximité l’un de l’autre, à travers la technologie bluethooth. Le bluethooth permettrait de générer des échanges d’identifiants électroniques ou « crypto-identifiants » entre les smartphones et seraient stockés dans chaque appareil au gré de l’historique de ses rencontres d’autres porteurs de l’application ayant laissé actif leur bluetooth. Si l’utilisateur est par la suite diagnostiqué positif, il transmet, volontairement ou non, son historique à – le cas échant selon l’Annexe TECH-3, toujours dans le protocole ROBERT (Cnil, p. 3 et 4) – un serveur centralisé, avec ou sans ses propres identifiants selon le système. Les autres utilisateurs recevraient soit un message du serveur leur indiquant être devenus une personne à risque, soit devraient volontairement accéder à celui-ci pour vérifier s’ils sont classés et enregistrés comme tels. Et ensuite ? L’application a priori s’arrête là.

Les Guidelines imposent ici une fonctionnalité à l’application qui -si elle nous apparaît comme nécessaire- ne sera pas facile à rencontrer : l’application devrait elle-même transmettre des recommandations aux personnes identifiées comme à risque et leur permettre de poser leurs questions. Et l’intervention d’une personne humaine devrait alors être obligatoire (Annex, aFUNC-2).

L’article 8 et les conditions de légalité, nécessité et proportionnalité.

En matière de protection de la vie privée, le principe de base de protection est inscrit à l’article 8 de la CEDH. Il est transposable à la plupart des autres droits fondamentaux couverts par la Convention et qui risquent d’être mis en danger.

Cette disposition n’admet l’ingérence d’une autorité publique dans l’exercice de ce droit que si l’ingérence est prévue par la loi et  qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à la sûreté publique, au bien-être économique du pays, à la défense de l’ordre et à la prévention des infractions pénales, à la protection de la santé ou de la morale ou à la protection des droits et libertés d’autrui.

La condition de nécessité doit être comprise comme impliquant l’application d’un principe de proportionnalité : la mesure ne peut être mise en œuvre s’il existe d’autres mesures moins attentatoires qui permettent d’atteindre un degré analogue d’efficacité. Lorsque deux libertés se heurtent ou que l’intérêt général s’oppose à l’exercice normal de la liberté de la vie privée et de la protection des données, un juste équilibre doit être trouvé entre ces libertés et intérêts antagonistes. Dans la balance qui doit être recherchée, il faut que les avantages tirés de la mesure l’emportent sur les inconvénients générés dans l’exercice des libertés en cause.

Nécessité juridique et efficacité pratique : la liaison impérative pour seulement envisager d’aller plus loin

S’il semble évident qu’une stratégie de déconfinement peut en appeler au-moins à la protection de la santé et au bien-être économique du pays, encore faut-il démontrer que l’atteinte envisagée soit nécessaire pour atteindre ce but et qu’elle soit encadrée par une loi. Deux points qui a priori paraissent particulièrement problématiques à ce stade de la réflexion, particulièrement en Belgique, mausi aussi, on l’apprend alors que ce texte était prêt à la publication en France.

En vue de justifier la nécessité de recourir à de telles techniques et donc, ensuite l’atteinte à nos libertés, il faudrait à tout le moins être assurés de leur efficacité dans la stratégie de déconfinement. L’AEPD (l’EDPB) le rappelle également – même si on aurait préféré qu’elle le dise à l’entame, et pas dans l’annexe des Guidelines – : « Les conditions dans lesquelles de telles applications contribueraient effectivement à la gestion de la pandémie ne sont pas encore établies. Et ces conditions doivent nécessairement être établies avant toute implémentation de ce type d’application » (Annex, point 1, p. 11). La Cnil ne dit rien d’autre quand elle énonce : « que l’atteinte portée à la vie privée ne sera en l’espèce admissible que si, en l’état des informations immanquablement lacunaires et incertaines dont il dispose pour affronter l’épidémie, le gouvernement peut s’appuyer sur des éléments suffisants pour avoir l’assurance raisonnable qu’un tel dispositif sera utile à la gestion de la crise, et notamment à la sortie du confinement de la population qui porte par lui-même une atteinte très forte à la liberté d’aller et venir » (p. 7).

Or, force est de constater qu’à part l’affirmation scandée de cette efficacité a priori, rien ne semble encore la garantir alors que les dérives de certains systèmes de traçage en cours dans certains pays sont déjà stigmatisés. On comprend aussi facilement que de telles applications n’ont jamais été utilisées précédemment, et certainement pas dans l’ampleur projetée, qu’elles sont au-mieux au stade de test et que les choix technologiques ne sont du reste pas encore arrêtés.

On a déjà dans notre opinion précédente, relevé les éléments de doutes légitimes sur l’efficacité de l’application projetée. L’avis de la Cnil s’en fait aussi l’écho (Cnil, p. 8). Un document assez complet a aussi été rédigé par la quadrature du net qui résume bien les limites d’efficacité de ces applications volontaires : risque d’utilisation trop faible (personnes âgées, enfants etc.), limites de fiabilité même de l’application dues à la technologie bluetooth utilisée, contre-efficacité sanitaire alors que toute l’énergie devrait être focalisée sur le déploiement de protection classique (tests de dépistage, masques etc.), risques de discriminations, perçus comme avant-garde de politiques de surveillance élargie et sécuritaire…

A l’heure où on écrit ces lignes, le Ministre en charge en Belgique a déjà exprimé sa méfiance et ne considère d’ailleurs pas encore l’utilisation de l’application comme «nécessaire ». On comprend d’ailleurs de la conférence de presse du Conseil National de sécurité de ce vendredi 24 avril que le déploiement de l’app ne serait pas considéré comme urgent et que la décision finale reviendrait chez nous aux Régions.

Si comme y invite les Guidelines (§§36, 43 et 46 et Annex, p. 12 et SEC-1), il faut également -et c’est évidemment nécessaire- s’assurer de l’exactitude de l’information introduite dans le système par le porteur du virus (cfr aussi Cnil p.9 et 10 mais celle-ci ne paraît pas avoir perçu l’étendue du problème ) : il doit donc être diagnostiqué tel quel (et on sait que toutes les personnes même se sachant malades, n’iront pas chez le médecin ou dans une institution de santé pour se faire diagnostiquer) . En outre, seules les personnes officiellement diagnostiquées par les autorités devraient pouvoir être enregistrées comme telles dans l’application, ce qui supposerait la nécessité d’une intervention du corps médical attestant la présence de la maladie, sous peine d’avoir un certain nombre d’angoissés ou de plaisantins être à la base du lancement d’alertes .

Il faut en effet se prémunir contre l’enregistrement erroné de personnes qui ne seraient pas malades et par exemple, contre les malveillants qui après avoir passé leurs journées en prises de contact se feront un plaisir de se déclarer infectés alors qu’ils ne le sont nullement, identifiant tous leurs contacts de personnes « à risques »… il faudra donc qu’à un moment ou un autre on lie les autorités sanitaires, hospitalières et/ou tout médecin susceptible d’effectuer le diagnostic à l’enregistrement des personnes infectées dans l’application et/ou à la création de l’identification unique de ces personnes. Il ne faut pas être grand clerc pour mesurer l’importance des moyens qui devraient être mis en œuvre pour garantir un tel processus… Or, sans cela, si tout un chacun pouvait se déclarer malade sans aucun contrôle, comment pourrait-on garantir l’efficacité de l’application ?

Les Guidelines – tout comme, pour autant qu’on la comprenne à l’heure actuelle, l’approche belge – vont d’ailleurs plus loin encore en affirmant que l’application ne peut remplacer mais seulement soutenir un processus de contact tracing manuel, mis en œuvre par un personnel qualifié en santé public qui pourrait trier les personnes de contact susceptibles de transmettre le virus, ou non. Et si l’on utilise pour ce faire de l’Intelligence artificielle, les algorithmes implémentés devraient être élaborés et suivis sous la stricte supervision de personnes qualifiées en vue de limiter l’apparition de faux positifs et négatifs dans le système et faire l’objet de la plus grande transparence (§36 et 37).

Ces garanties rappellent les limites de l’efficacité des applications du fait même de certains biais technologiques (faux « positifs ou faux « négatifs » qui pourraient être générés par des transmissions déficientes, incapacité des applications à prendre en considération les circonstances de l’échange d’identifiants (la personne de contact était dans sa voiture, derrière un plexiglas de protection, porteur d’un masque etc.).

Enfin, le principe de proportionnalité implique également que la mesure ne puisse être mise en œuvre s’il existe d’autres mesures moins attentatoires qui permettent d’atteindre un degré analogue d’efficacité. Comme viennent de le rappeler la présidente du comité consultatif de la Convention n° 108 et le commissaire à la protection des données : « Le traitement à grande échelle des données à caractère personnel ne peut être effectué que lorsque, sur la base de preuves scientifiques, les avantages potentiels pour la santé publique d’une telle surveillance numérique des épidémies (par exemple, le suivi des contacts), y compris leur exactitude, l’emportent sur les avantages d’autres solutions alternatives qui seraient moins intrusives. »

On ne peut non plus ici faire l’économie de la comparaison entre l’efficacité attendue de mesures comme le port du masque et le test de dépistage généralisé, nettement moins attentatoires aux libertés individuelles. Est-on certain que les finalités de santé publique seront mieux servies dans les Etats mettant en œuvre l’application que par ceux qui se seront concentrés sur la mise en œuvre de telles mesures moins attentatoires? Et si l’on insiste tant sur la prise de mesures conjointes et globales (Guidelines, p. 6 ; Cnil, p. 8) où l’application ne peut en aucun cas être considérée comme une mesure autonome et où le « solutionnisme technologique » doit être banni, n’est-ce pas, outre des considérations d’efficacité évidentes, pour éviter que l’on nous présente trop rapidement cette technologie comme miraculeuse après l’évidence de l’impréparation et du manque de prudence quant à la constitution des stocks de matériels pour préparer la sortie du confinement ?

La nécessité d’une loi encadrant la création et le déploiement de l’application

Une autre condition essentielle de la protection des libertés individuelles et des droits fondamentaux est que les mesures attentatoires soient prévues par une loi. Il faut en effet qu’un débat démocratique digne de ce nom puisse avoir lieu afin d’avaliser et de modaliser les mesures préconisées limitant l’exercice de ces droits. D’autant qu’en l’espèce et en filigrane, un choix sera fait sur le type de société que l’on tient à mettre en place à la sortie du confinement.

On a déjà lourdement insisté dans notre opinion précédente sur la nécessité du débat démocratique qui, selon nous, ne peut provenir que de l’intervention d’une assemblée législative à laquelle sont liées des garanties de contrôle du texte par le Conseil d’État et l’Autorité de protection des données.

Or, on sait qu’en Belgique, sur la base de deux lois du 27 mars 2020, le Roi est habilité à prendre des mesures de lutte contre la propagation du coronavirus COVID-19. Autrement dit et pour faire simple, afin de permettre à la Belgique de réagir à l’épidémie et d’en gérer les conséquences, le Roi peut dans le cadre de ces lois seul abroger, compléter, modifier ou remplacer les dispositions légales en vigueur, même dans les matières qui sont expressément réservées à la loi par la Constitution en vue de prendre les mesures qu’il estime justifier pour combattre l’épidémie. Ces arrêtés devront cependant être confirmés par une loi dans un délai d’un an après leur entrée en vigueur (et donc être abrogés par le législateur, le cas échéant). Ce qui suspend d’autant le contrôle démocratique de l’exécutif par le législatif.

On doit donc s’attendre à ce que l’application annoncée soit prise par un simple arrêté ce qui paraît très léger au regard des exigences du principe de légalité.

C’est d’autant plus vrai qu’il est possible même si c’est discutable que cette mesure entre dans le champ « des mesures pour combattre la propagation ultérieure du coronavirus COVID-19 au sein de la population, y compris le maintien de la santé publique et de l’ordre public » (Art. 5 §1er 1° loi du 27 mars 2020 II). Or, de telles mesures sont susceptibles d’être prises sans l’avis préalable du Conseil d’Etat (Art. 4 loi du 27 mars 2020 I) et même « sans que les avis légalement ou réglementairement requis soient préalablement recueillis » (art. 6 loi du 27 mars 2020 II). En clair, dans cette seconde hypothèse, potentiellement sans l’avis préalable de l’Autorité de Protection des données.

On apprend également que, en France, le Premier ministre Edouard Philippe a annulé le débat parlementaire spécifique à l’application « Stopcovid » pour l’intégrer -le noyer ?- dans un débat global sur l’ensemble des mesures de déconfinement qui se tiendrait le 28 avril prochain devant l’assemblée française.

On ne peut dès lors que s’inquiéter du déficit démocratique qui accompagnerait le déploiement de l’application prise dans ces conditions, sans réel débat partlementaire. Soulignons encore que le gouvernement belge n’est pas obligé par les lois sur les pouvoirs spéciaux de recourir à de telles extrémités qui n’apparaissent pas justifiables aujourd’hui.

Certains semblent considérer que le RGPD suffirait pour donner une base légale aux traitements de données liées à l’application projetée. On peut en douter. On reviendra ci-après sur les différentes bases de licéité qu’offre le RGPD pour justifier les traitements de données liés à l’application.

Si le RGPD peut encadrer l’arrêté par une stricte conformité de son contenu au prescrit du texte européen, on doit s’interroger sur le caractère suffisamment prévisible et précis des règles qu’il détermine en vue de leur application aux traitements projetés, spécifiques à l’application, pour justifier un respect suffisant du principe de légalité. Du reste, le RGPD rappelle dans son considérant 47, pour justifier de l’interdiction pour un Etat membre de se référer à l’intérêt légitime comme base de licéité de ses traitements. Étant donné le fait « qu’il appartient au législateur de prévoir par la loi la base juridique pour le traitement des données à caractère personnel par les autorités publiques ». Ce principe est selon nous général, quelle que soit la base de licéité choisie dans le RGPD.

C’est en sens – sauf d’après elles lorsque la base de licéité est le consentement, ce qui d’après nous est très contestable – que l’on lit les § 30 et 31 des Guidelines et son appel à ce que la loi ou les mesures législatives devraient incorporer de véritables garanties incluant le caractère volontaire de l’utilisation de l’application, une détermination claire des finalités et de leurs limitations, les catégories de données ou le critère de la fin de l’utilisation de l’application et l’identification de l’institution qui aura à en décider.

Le RGPD comme garde-fou

Les Guidelines aideront assurément les concepteurs d’application à réaliser une application « privacy by design ». Elles sont aussi aptes à guider et faciliter le contrôle qui devra être fait des mesures législatives ou réglementaires prises pour lancer l’utilisation effective de l’application. Cela dit, malgré une très large gamme de points d’attention préconisés par le document, il met d’emblée en garde : les garanties préconisées ne sont pas exhaustives et toute évaluation doit se faire au cas-par-cas et sous le contrôle de l’autorité compétente (Annex, p. 11 et 12). Certaines ont d’ores et déjà été reprises dans l’avis de la Cnil du 24 avril dernier.

Avant même d’en passer quelques-unes en revue se pose la question de savoir qui aura la réelle maîtrise de l’application et donc qui assumera le rôle de responsable du traitement, surtout si elle est développée par une société privée. Les Guidelines comme la Cnil (p.9) indiquent que ce sont les autorités nationales de santé qui pourraient être désignées (§25) tout en admettant que d’autres responsables de traitements pourraient être identifiés dans le processus de flux de données. La Cnil vise aussi potentiellement le ministre chargé de la santé (et donc l’Etat).

Selon nous, le texte de loi ou réglementaire devra absolument prévoir que c’est bien l’Etat qui sera responsable et les intervenants techniques des sous-traitants qui ne pourront pas utiliser l’app pour d’autres finalités. Du reste, il serait bon en l’espèce que l’Etat se fasse céder tous les droits sur l’app si elle est développée par des tiers, pour éviter, autant que possible, une utilisation ultérieure détournée. En toute hypothèse, les codes source devraient être publics et ouverts ainsi que ses spécifications techniques de sorte que toute partie concernée puisse auditer le code (Annex GEN-3).

Enfin, attention en Belgique : si on croit les déclarations du Ministre, on renverrait aux Régions la compétence de décider si et quel app pourrait être utilisée sur leur territoire respectif. Attention que la lasagne institutionnelle ne dilue toute responsabilité réelle en la matière… d’autant qu’en Belgique, les Autorités publiques échappent à toute sanction pécuniaire en cas de violation du RGPD…

La première garantie est le fait que ces applications -via bluetooth- devront se baser sur des techniques de pseudonymisation, et que des mesures appropriées devront être prises pour prévenir toute réidentification (§27 et 41, annex PRIV-2, PRIV-16, CON-2 ; Cnil, p. 3 et 4)). Du reste, les autorités ne pourraient identifier les utilisateurs potentiellement affectés sans leur consentement (Annex, PRIV-9). Enfin, les utilisateurs doivent être capables d’exercer leurs droits via l’application (Annex, PRIV-13 ; Cnil, p. 11). On assume donc que cette identification est possible… et que l’application ne fonctionne pas sur une base anonyme au sens du RGPD, comme on l’entend encore (trop) souvent.

Diverses bases de licéité pourraient être envisagées, comme déjà indiqué. Il pourrait s’agir de traitements potentiellement fondés sur le consentement préalable de la personne concernée. (§32). Une imposition de l’application à toute la population serait d’évidence disproportionnée en l’espèce et d’ailleurs heurtant dans nos Etats démocratiques. Rappelons cependant que le garde-fou du consentement a depuis longtemps révélé ses faiblesses : le traçage sur internet par les cookies et les difficultés de l’imposer aux responsables du traitement en est un exemple patent.

Les Guidelines insistent aussi à raison sur le strict respect des conditions de validité d’un tel consentement. Il permet aussi de lever l’interdiction a priori du traitement de données de santé (Article 9a du RGPD). Il doit être parfaitement informé, ce à quoi il faudrait veiller particulièrement, en ce compris des explications claires sur les processus d’IA utilisés le cas échéant. Il doit aussi être libre, ce qui est parfois douteux à l’égard d’une autorité publique.  Il faudrait donc à tout le moins que le refus de consentement -ou son retrait- et, de manière générale, si une autre base est utilisée, n’entraîne aucun inconvénient pour la personne concernée par les données (§24).  Par exemple dans sa possibilité de se déconfiner ou de se déplacer, ou d’obtenir un accès au dépistage, et que l’acceptation de l’application par le citoyen ne puisse être conditionnée par des tiers dans le cadre des activités normales du citoyen (un employeur, un prestataire de soins etc.). Il ne faut pas oublier non plus la pression sociale qui pourrait vicier le consentement des citoyens et les empêcher d’opter sans contrainte pour une utilisation de l’application.

D’autres bases de licéité pourraient d’ailleurs être envisagées (l’exécution d’une mission d’intérêt public au sens de l’article 6.e du RGPD) en concordance avec les hypothèses mobilisables pour lever l’interdiction de traitement des données de santé (cfr potentiellement l’article 9 i et h du RGPD). Elles ont la préférence des autorités de contrôle et particulièrement de la Cnil (p. 6). Encore dans ce cas, ne faut-il pas oublier que l’instrument réglementant l’application prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée, comme l’imposent ces dispositions (§33). En toute hypothèse, le caractère volontaire du recours à l’application doit en faire partie (§§ 8, 24 et 29, Annex, p.11, CON-1,ID-1, ), ainsi que la possibilité, selon nous, pour la personne de se retirer du processus (Cnil, p. 5).

Il faut également opérer une application stricte des autres principes relatifs à la protection des données. Il faut que les finalités soient strictement définies afin d’exclure toute autre utilisation sans lien avec la lutte contre la pandémie (§26 ; Cnil, p. 4 et 5). Seules les données réellement nécessaires à son fonctionnement pourraient être collectées (§§26, 27 et 40). C’est ainsi que les données de localisation en sont exclues.  Les données effacées après sa période d’utilisation. L’application ne devrait être utilisée que pour une période explicitement limitée à l’état d’urgence et les données doivent, des mesures doivent être prévues en ce sens dans le texte qui autorise le tracing,  être ensuite effacées ou anonymisées (§§ 31, 35 et 48 ; Cnil, p. 7). Sans oublier des garanties maximales quant à la sécurité du système mis en place contre toute intrusion de tiers malveillants (§§42, 45, Annex SEC-1 à sec-11 ; Cnil p. 10).

Les Guidelines spécifient et traduisent ces divers principes en… 65 points plus techniques repris dans l’annexe, dont certains d’entre eux ont déjà été mentionnés. Ces points d’attention sont porteurs de recommandations sur chaque élément de développement de l’application :  du plus général aux finalités, fonctionnalités, données, propriétés techniques, à la sécurité jusqu’aux principes applicables au cas où l’application envoie au serveur la liste des contacts et au cas où les applications transmettent au serveur une liste de ses identifiants. Qui peut encore douter que ces applications ne posent pas de sérieux problèmes à l’application des règles du RGPD ?

Enfin, on doit signaler que le recours à l’analyse d’impact préalable sur les droits et libertés fondamentales des personnes concernées requis par l’article 35 du RGPD s’impose, en compris le cas échéant, la consultation préalable de l’autorité de contrôle (Guidelines §39, Cnil p. 9). On retombe ici sur la problématique de l’éventuelle dérogation aux avis préalables de l’Autorité de protection belge, suite au régime actuel des pouvoirs spéciaux. On le comprend aisément au vu de ce qui précède, il semble inconcevable de se passer d’un contrôle serré, effectif et indépendant de l’Autorité de contrôle – et du Conseil d’Etat – concernant toute application de ce type. Même et surtout en cas de crise. Elle est censée être à même de rendre un avis posé et indépendant sur la qualité de l’application et le respect des principes de protection des données prévus par le RGPD.

Conclusions : un appel à la réflexion et à la raison

Entendons-nous bien, il ne s’agit ici d’exclure par principe tout recours aux nouvelles technologies pour combattre la pandémie. Les nouvelles technologies ont déjà montré par exemple leur efficacité, dans le respect des droits et libertés fondamentales, dans la surveillance épidémiologique basée sur l’analyse à grande échelle de données anonymisées permettant de surveiller et prévoir le développement d’épidémies.

Un pas supplémentaire serait franchi en cas de déploiement d’applications de traçage des contacts dès lors qu’un système de suivi des citoyens et de leurs contacts dans leur déplacement, grâce à leur smartphone personnel, serait mis en place par l’autorité publique en vue de la prise de mesures individuelles.

Notre souhait était cependant de replacer le débat à sa juste place dans l’ancrage juridique où il doit avoir lieu. On ne peut le réduire à des interrogations simplistes du genre « santé ou économie », « vie humaine ou droits fondamentaux ».  C’est d’emblée appauvrir la réflexion et la vider de tout contenu. L’option ne peut en aucun cas être de sauver des vies en sacrifiant les valeurs fondamentales de notre État de droit. L’enjeu est ici d’apporter une réponse réfléchie et raisonnée à la question de savoir comment sauver des vies et garantir au-mieux la santé publique par le recours aux nouvelles technologies, dans le respect des libertés et droits fondamentaux des citoyens et la sauvegarde de nos valeurs essentielles (voir en ce sens les Guidelines §2 à §4).

L’arsenal juridique construit ces dernières années offre les outils adéquats pour permettre une réponse garantissant un juste équilibre entre d’une part l’intérêt général dont fait partie la santé publique et le souci de limiter au maximum le nombre de victimes de la pandémie et d’autre part le respect de la protection des données et autres libertés fondamentales. C’est maintenant qu’il faut l’utiliser. Et lui laisser remplir son rôle de contrôle des institutions : vote au parlement, contrôle du Conseil d’Etat et par les Autorités de protection des données. Sans se laisser guider par la peur et la réalité de l’urgence. Parce que, selon nous, la véritable moralité d’un Etat démocratique dans une telle crise est précisément de ne pas sacrifier les valeurs fondamentales sur lesquelles il s’est construit.

Plus d’infos ?

Les avis commentés sont disponibles en téléchargement ci-dessous.

Droit & Technologies

Annexes

deliberation Cnil

file_download Télécharger l'annexe

Guidelines EDPB

file_download Télécharger l'annexe

Publié dans

Thèmes
Tags ###

Auteurs

Thierry Léonard

Lui écrire Ses 102 contributions Faisons connaissance

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK