Coronavirus, traçage des données et vie privée

L’expérience de pays asiatiques révèle comment l’utilisation des données a contribué à suivre l’épidémie de coronavirus et à réduire sa propagation. Les résultats préliminaires semblent démontrer l’efficacité de la méthode, mais dans quelle mesure porte-t-elle atteinte au droit à la vie privée et à la protection des données1? Alors que les pays européens envisagent d’adopter une approche semblable, il convient de déterminer la nature des données à caractère personnel collectées et de clarifier les implications juridiques des techniques de traçage numérique utilisées.

Les informations collectées sont-elles des données personnelles?

Les autorités publiques et les créateurs d’applications recourent à différentes technologies pour suivre l’évolution de l’épidémie ou pour s’assurer que la population respecte les règles de confinement. Ils surveillent les personnes contaminées – sur la base de leurs symptômes ou des résultats de tests de dépistage – et leurs déplacements.

Le traitement portent donc essentiellement sur des données de santé (symptômes, température corporelle, test de coronavirus positif, etc.) et de géolocalisation. La première question à se poser d’un point de vue juridique est donc de savoir si ces informations doivent être considérées comme des données personnelles en vertu du Règlement général sur la protection des données2 (RGPD).

Le règlement européen ne s’applique qu’au traitement de «données à caractère personnel» (article 2 RGPD). Les données personnelles constituent des informations concernant une personne «identifiée» ou «identifiable», une personne identifiable étant celle qui peut être identifiée, directement ou indirectement, par référence à un «identifiant» [article 4 (1) RGPD].

Les informations relatives à la géolocalisation d’une personne ou d’un équipement lui appartenant constituent indubitablement des données personnelles. Le RGPD considère en effet les «données de localisation» comme un «identifiant» [article 4(1) RGPD] et, selon la définition avancée précédemment, les informations relatives à une personne qui peut être identifiée par référence à un identifiant constituent des données personnelles.

A contrario, les données qui ne sont pas à caractère personnel ne relèvent pas du texte européen. Si les informations disponibles ne permettent pas l’identification d’une personne, elles ne sont pas considérées comme des données personnelles. C’est le cas, par exemple, des données anonymisées. Elles sont des informations qui pouvaient servir auparavant à identifier une personne, mais qui ne permettent plus cette identification3.

Les données de santé, quant à elles, appartiennent à des catégories particulières de données à caractère personnel [article 9 (1) RGPD]. Elles reçoivent un traitement différent des autres données personnelles en raison de leur nature (cf. Les données de santé au temps du coronavirus).

Il convient donc de déterminer sur ces bases comment une autorité publique, un développeur d’applications ou un chercheur peut légalement utiliser ces données personnelles en fonction de différentes techniques de traçage numérique.

Les données de localisation anonymisées partagées par les opérateurs mobiles

Une première approche, privilégiée par l’Allemagne, l’Autriche ou l’Italie, repose sur l’analyse des données de géolocalisation des opérateurs de téléphonie mobile par les autorités sanitaires ou des chercheurs pour surveiller les déplacements de population (data tracking).

Ces données permettent aux agences de santé publique de visualiser les mouvements importants de personnes, de prédire la propagation géographique de la maladie et d’estimer l’efficacité des mesures de quarantaine. Les données agrégées ont démontré, par exemple, que de nombreuses personnes ont quitté les grandes villes pour se rendre dans leurs maisons de campagne avant que des mesures de confinement plus strictes ne soient adoptées dans certains pays.

L’information est préalablement anonymisée avant d’être communiquée par les fournisseurs de services de télécommunication aux autorités sanitaires ou aux chercheurs. Ces données anonymisées ne relèvent pas du champ d’application du RGPD (considérant 26), car elles ne permettent pas d’identifier une personne.

Les données de localisation peuvent ainsi être légalement traitées à condition d’avoir été anonymisées de manière appropriée4. L’anonymisation doit aller au-delà de la simple suppression des numéros de téléphone et des numéros d’identification des terminaux de téléphonie mobile (IMEI) de l’ensemble des données communiquées5, la technique employée doit «empêcher irréversiblement»6 l’identification des personnes.

Les données de localisation non anonymisées partagées par les opérateurs mobiles

Des États ont préféré une autre approche en s’intéressant non pas à l’ensemble de la population ou à des groupes de personnes, mais au suivi individualisé de leurs citoyens à l’aide de données de télécommunication.

Les mesures d’urgence en vigueur en Israël, par exemple, autorisent une surveillance active des téléphones portables. Les données recueillies auprès des entreprises de télécommunication permettent de recourir à la triangulation pour localiser les personnes qui se sont retrouvées à proximité d’une personne infectée (contact tracing). Après l’analyse des données, les autorités sanitaires avertissent les personnes concernées.

Si les autorités publiques utilisent des données de localisation non anonymisées fournies par des opérateurs de téléphonie, parce que l’anonymisation est impossible ou parce qu’elle n’est pas souhaitée, le Comité européen de la protection des données (CEPD) recommande7 aux États Membres d’adopter des dispositions dérogatoires en s’appuyant sur la Directive vie privée et communications électroniques8, telle que modifiée par la Directive 2009/136/CE9.

L’article 15 de la Directive vie privée et communications électroniques permet en effet aux organes de délibération nationaux de prendre des mesures de sauvegarde pour la «sécurité publique». Il semble que la notion de sécurité publique inclut, comme le suggère implicitement le CEPD, la santé publique.

Les mesures introduites dans la législation nationale sur cette base juridique doivent être nécessaires, appropriées et proportionnées10. Elles pourraient être considérées comme proportionnées, selon le CEPD, au regard des circonstances exceptionnelles actuelles11.

L’option la moins intrusive dans la vie privée devrait toujours être privilégiée, une condition qui limite la possibilité de suivre constamment chaque déplacement de chaque citoyen – ou même seulement des personnes infectées.

Les États Membres doivent prévoir des garanties adéquates et des recours appropriés s’ils utilisent des données non anonymisées:

  • ils doivent indiquer clairement et publiquement les types de données qu’ils requièrent des entreprises de télécommunication;
  • ils doivent garantir que les données sont transmises en toute sécurité;
  • ils doivent maintenir en tout temps l’obligation de confidentialité; et
  • ils doivent s’assurer que l’accès aux données est circonscrit à un nombre restreint de personnes.

Les données traitées conformément aux lois d’urgence adoptées en vertu de la Directive vie privée et communications électroniques devraient être supprimées dès que la situation d’urgence prendra fin.

La Directive vie privée et communications électroniques ne s’applique qu’au traitement de données par des entreprises de télécommunication12. Si les autorités publiques ou des entreprises privées développent des applications pour téléphones portables, la base juridique pour traiter les données de localisation sera différente.

Une application comme celle envisagée ici serait considérée comme fournissant un «service de la société de l’information»13 et les lois générales sur la protection des données lui seraient applicables14.

Les services de la société de l’information et la protection des données

Une dernière approche, adoptées par des pays comme la Chine, la Corée du Sud ou Taiwan, est basée sur le suivi individualisé de la santé et des déplacements d’une personne. L’État n’utilise pas seulement dans ce cas de figure la modélisation des mouvements de sa population afin de suivre la propagation du virus. Il recueille un large éventail de données personnelles et sensibles dont le traitement, en Europe, doit s’appuyer sur une base légale appropriée.

La collecte de données de localisation et de santé par des applications

Les citoyens de certains pays doivent installer une application sur leur téléphone. Après l’avoir personnalisée avec leur nom, leur numéro de téléphone et leur numéro d’identification national, le logiciel suit tous leurs mouvements. Il détermine par géolocalisation si une personne est entrée en contact avec une personne testée positive à la Covid-19, que ce soit dans la rue, dans une salle de classe, au lieu de travail, dans les transports (trains, avions, autobus, etc.) ou dans l’espace privé.

Des applications comme celles-ci permettent de suivre les mouvements des personnes testées positives pour le coronavirus et de comprendre leurs interactions sociales. Les autorités sanitaires peuvent également s’assurer qu’une personne contaminée, confinée à la maison, reste dans un périmètre déterminé. Si la personne sort de ce périmètre, la police peut être avisée et la personne peut être arrêtée. Les autorités peuvent vérifier si les personnes ont avec elles leur téléphone cellulaire – allumé et opérationnel – en tout temps en les appelant ou en utilisant d’autres méthodes de vérification.

Une autre possibilité est de contraindre la population à remplir quotidiennement un questionnaire de santé. Les citoyens sont interrogés tous les jours sur la présence de symptômes du coronavirus (fièvre, toux, problèmes respiratoires, etc.) et l’application décide s’ils doivent rester à la maison ou s’ils doivent subir un test de dépistage. Les téléphones deviennent des passeports pour aller au travail, prendre les transports en commun, visiter les édifices gouvernementaux ou fréquenter les centres commerciaux en fonction de leurs codes couleur (vert, jaune et rouge). Ils jouent également le même rôle de surveillance que celui mentionné dans les paragraphes précédents pour les personnes confinées.

Il existe enfin des applications développées autour de la technologie Bluetooth, telles que TraceTogether, élaboré par les autorités de Singapour, ou les projets Decentralized Privacy-Preserving Proximity Tracing (DP-3T) et Pan-European Privacy-Preserving Proximity Tracing (PEPP-PT) menés par des chercheurs européens. Après avoir été installées, elles permettent de détecter d’autres utilisateurs de l’application qui se trouvent à proximité. L’information stockée sur le téléphone de l’utilisateur, pour une durée déterminée, peut ensuite être utilisée pour le prévenir qu’il a récemment été en contact avec une personne contaminée.

Les bases légales de traitement des données collectées par des applications

Toutes ces applications s’appuient principalement sur le traitement de données de localisation et de santé afin d’assurer l’efficacité des mesures de santé publique avancées au plan étatique. Au sein de l’Union européenne, le traitement de ces données doit être prévu par une disposition du Règlement général sur la protection des données.

Le traitement pourrait principalement être basé sur le consentement des personnes concernées dans le but spécifique de lutter contre l’épidémie de coronavirus. Le consentement devrait être la base juridique privilégiée dès lors qu’il s’agit de traiter des données de géolocalisation15. Le traitement sera licite si la personne a consenti à la collecte de ses données de localisation sur la base de l’article 6 (1) (a) RGPD ou, dans le cas de ses données de santé, sur la base de l’article 9 (2) (a) RGPD.

Ces bases juridiques posent toutefois un problème: le consentement dans cette hypothèse serait-il librement exprimé [article 4 (11) RGPD] si un gouvernement obligeait ses citoyens à installer l’application? Si l’utilisation de l’application n’était pas obligatoire, qui consentirait librement à être surveillé vingt-quatre heures sur vingt-quatre, sept jours sur sept, y compris dans sa sphère privée?

Une autre base juridique possible pour la collecte des données de localisation pourrait être la nécessité de protéger les «intérêts vitaux» d’une personne ou d’un groupe de personnes [article 6 (1) (d) RGPD]. Intérêt vital désigne ici «un intérêt essentiel à la vie» d’une personne (considérant 46 RGPD). Il comprend les menaces à l’intégrité physique ou à la vie d’une personne ou de toute autre personne et la surveillance des épidémies et de leur propagation (considérant 46 RGPD).

La base juridique fondée sur les intérêts vitaux soulève également des questions importantes, car les données de géolocalisation peuvent être utilisées pour déduire plusieurs informations sur le mode de vie et les choix personnels d’un individu. La surveillance continue des déplacements des citoyens est-elle nécessaire pour lutter contre le coronavirus et proportionnée à l’objectif poursuivi par les autorités nationales? Les autorités sanitaires ou des développeurs d’applications pourraient-ils établir un lien substantiel entre le traitement systématique des données de localisation et l’objectif déclaré de prévenir la propagation d’une épidémie? Existe-t-il un lien logique entre les données traitées et le prétendu objectif légitime? Et, enfin, respecte-t-il le principe de minimisation des données [article 5 (c) RGPD] qui prévoit que seules les données adéquates, pertinentes et nécessaires doivent être traitées?

Cette dernière base juridique ne pourrait être invoquée pour traiter les données de santé, car elles sont considérées comme des catégories particulières de données à caractère personnel. La nature sensible des données a poussé le législateur européen à adopter un régime juridique spécial pour traiter de toute information relative à la santé. La règle générale interdit le traitement de ces données [article 9 (1) RGPD], sauf sur la base du consentement évoqué précédemment et de certaines exceptions bien définies.

Les données de santé pourraient être traitées dans le cadre de l’exception relative aux intérêts vitaux [article 9 (2) (C) RGPD] qui est similaire à la base légale mentionnée précédemment. Toutefois, elle ne peut être invoquée que si la personne est physiquement ou juridiquement incapable de donner son consentement. Les données sensibles concernant la santé d’une personne peuvent également être traitées dans le cadre de l’exception de santé publique [article 9 (2) (i) RGPD] si leur traitement est dans l’intérêt public. Nous renvoyons le lecteur à notre article Les données de santé au temps du coronavirus pour tous les détails à propos de ces exceptions.

«Les règles de protection des données actuellement en vigueur en Europe sont suffisamment souples pour permettre diverses mesures prises dans la lutte contre les pandémies» (notre traduction), écrit Wojciech Rafał Wiewiórowski, le Contrôleur européen de la protection des données. Les défenseurs de la vie privée sont sceptiques quant à la possibilité de traiter une quantité illimitée de données de localisation et de santé des citoyens européens. Il faut se demander si cela est nécessaire et proportionné, même en temps de crise sanitaire. Cela peut conduire à une surveillance de masse et créer un dangereux précédent. Un équilibre doit donc être trouvé entre l’intérêt public à lutter contre l’épidémie et le respect des droits individuels et des libertés fondamentales.

Dernière mise à jour: 17 avril 2020

1 Charte des droits fondamentaux de l’Union européenne (version consolidée), JOUE C 326, 26 octobre 2012, p. 391, art. 7 et 8.

2 Règlement général sur la protection des données, JOUE L 119, 4 mai 2016, p. 1.

3 Groupe de travail «Article 29», Avis 4/2007 sur le concept de données à caractère personnel (2007), p. 23.

4 Comité européen de la protection des données, Statement on the Processing of Personal Data in the Context of the Covid-19 Outbreak (2020), p. 2.

5 European Data Protection Board, Monitoring Spread of COVID-19 (2020), p. 2.

6 Groupe de travail «Article 29», Avis 05/2014 sur les techniques d’anonymisation (2014), p. 7.

7 Statement on the Processing of Personal Data in the Context of the Covid-19 Outbreak, op. cit., p. 2.

8 Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, JOCE L 201, 31 juillet 2002, p. 37.

9 Directive 2009/136/CE du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n° 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs, JOUE L 337, 18 décembre 2009, p. 11.

10 Directive 2002/58/CE, op. cit., art. 15.

11 Statement on the Processing of Personal Data in the Context of the Covid-19 Outbreak, op. cit., p. 3.

12 Directive 2002/58/CE, op. cit., art. 3 (1).

13 Directive (UE) 2015/1535 prévoyant une procédure d’information dans le domaine des réglementations techniques et des règles relatives aux services de la société de l’information, JOUE L 241, 17 septembre 2015, p. 1, art. 1 (1) (b)

14 Groupe de travail «Article 29», Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents (2011), p. 9; et David Lefranc, Droit des applications connectées – Applications – Réseau – Interfaces, Bruxelles, Larcier, 2017.

15 Ibid., p. 14.