Publié le 29 avril 2020, modifié le 6 mai 2020.
Par Christophe Romei

Mise en garde contre les effets possibles des applications de traçage de contact numérique

Publié le 29 avril 2020, modifié le 6 mai 2020.
Par Christophe Romei
Photo : De Brian McGowan - Unsplash

Photo : De Brian McGowan - Unsplash

Depuis le début de la pandémie, les gouvernements et les acteurs impliqués dans la lutte contre le virus se souhaitent se reposer sur l'analyse des données et les technologies numériques pour répondre à cette menace...

StopCovid ne fera pas partie des briques pour engager le déconfinement pour sauver des vies ! L’application en France est soumise à un débat et vote parlementaire. De nombreux pays dans le monde utilisent les données sur une application, comme l’Allemagne, la Suisse, la Pologne, le Royaume-Uni, Israël, l’Australie, de nombreux pays d’Asie, et d’autres initiatives comme par exemple Vodafone qui déclarent livrer régulièrement à l’État italien des cartes de densité et de déplacement de mobiles anonymisés.

Néanmoins, voici une déclaration conjointe. Le président du Conseil de la protection des données de l’Europe du comité “Convention 108+” et le Conseil de la protection des données de l’Europe mettent en garde contre les effets possibles des applications de traçage de contact numérique dans la prévention de la pandémie Covid-19 et réclame que des garanties adéquates soient mises en place pour prévenir les risques pour les données personnelles et la vie privée. Les applications mobiles ont été utilisées dans certains pays et sont prises en compte comme une réponse complémentaire à la nécessité d’effectuer rapidement le suivi des contacts.

Pour contribuer aux réflexions en cours dans de nombreux pays, une déclaration a été émise afin de rappeler que, chaque fois que de telles solutions sont choisies, des garanties juridiques et techniques strictes doivent être mise en place pour atténuer les risques vis-à-vis de la protection des données personnelles et du respect de la vie privée.

Si ces applications sont déployées, cela devrait être pour une durée limitée et uniquement sur la base du volontariat. Ces applications devraient inclure des spécificités « par la conception » pour prévenir ou minimiser les risques, par exemple en faisant en sorte que les données de localisation des individus ne soient pas utilisées à d’autres fins, qu’aucune identification directe ne soit possible ou que la ré-identification soit totalement impossible.

La licéité (acte permis par la loi)

C’est le traitement des données qui peut être effectué soit sur la base du consentement de la personne concernée, soit sur la base d’un autre fondement légitime prévu par la loi.

Il convient de noter que, comme le prévoit explicitement le rapport de la Convention 108+, cette base légitime peut notamment comprendre le traitement de données nécessaire aux intérêts vitaux des personnes et celui effectué sur la base de motifs d’intérêt public, comme dans le cas de la surveillance d’une épidémie mortelle.

Le droit à la protection des données n’empêche par exemple pas les autorités de santé publique de partager la liste des professionnels de la santé (noms et coordonnées) avec les entités chargées de la distribution de masques FFP2. Pas plus qu’on ne peut prétendre que le droit à la protection des données est incompatible avec la surveillance épidémiologique, les données anonymisées n’étant pas couvertes par les exigences de la protection des données.

L’utilisation d’informations de localisation agrégées pour signaler des rassemblements enfreignant les règles de confinement ou pour indiquer des mouvements de personnes s’éloignant d’une zone gravement touchée (en termes de nombre de personnes positives COVID-19) ne serait donc pas empêchée par les exigences de protection des données.

Cette Convention 108+ reconnaît la nécessité d’autoriser certaines exceptions et restrictions au nom d’objectifs impérieux d’intérêt public et des intérêts vitaux des personnes. Néanmoins, les restrictions à ces principes et droits doivent répondre à des exigences très claires, même pendant l’état d’urgence, et garantir le respect persistant de l’État de droit et des droits fondamentaux.

Selon la Convention 108+ (voir article 11 – Exceptions et restrictions), une exception est admise dès lors qu’elle est « prévue par une loi, qu’elle respecte l’essence des droits et libertés fondamentales, et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique ». Lorsque des restrictions sont appliquées, ces mesures doivent être prises à titre provisoire uniquement et pour une période explicitement limitée à l’état d’urgence. Il est également essentiel que des garanties spécifiques soient mises en place et que des assurances soient données quant à la pleine protection des droits et libertés individuelles une fois l’état d’urgence levé.

Données mobiles numériques

Les entreprises de télécommunications, les plates-formes en ligne et les fournisseurs de services Internet participent également activement à la lutte contre la propagation du COVID-19 et sont de plus en plus tenus de partager avec les autorités publiques les données des abonnés, les informations personnelles qu’elles recueillent et d’autres types d’informations, afin de contribuer notamment à la surveillance épidémiologique, y compris l’analyse des données pour déterminer la localisation des personnes potentiellement infectées.

De même, les organismes privés et publics peuvent développer des solutions informatiques pour la surveillance de l’épidémie.

Le traitement à grande échelle des données à caractère personnel ne peut être effectué que lorsque, sur la base de preuves scientifiques, les avantages potentiels pour la santé publique d’une telle surveillance numérique des épidémies (par exemple, le suivi des contacts), y compris leur exactitude, l’emportent sur les avantages d’autres solutions alternatives qui seraient moins intrusives.

L’élaboration de ces solutions de surveillance doit être fondée sur une évaluation préalable de l’impact potentiel du traitement de données envisagé sur les droits et libertés fondamentales des personnes concernées, et doit concevoir le traitement de données de manière à prévenir ou à minimiser le risque d’interférence avec ces droits et libertés fondamentales.

À la lumière des principes de précaution et de proportionnalité, des tests préalables dans différents environnements bac à sable devraient également être recommandés, comme c’est actuellement le cas pour divers médicaments testés dans le cadre d’essais cliniques. Si des informations en temps réel sur la propagation du virus peuvent contribuer à l’isoler, il convient de souligner que les solutions les moins intrusives doivent toujours être privilégiées.

Lire aussi