Alors que la réflexion sur la mise en place d’une forme de tracking pour lutter contre l’épidémie de COVID-19 s’est intensifiée ces derniers jours (voir à ce titre les annonces d’Orange ou de SFR), le gouvernement a évoqué en termes plus précis les grandes lignes de sa future application. Ainsi dans une interview donnée au Monde le 8 avril, le ministre de la Santé Olivier Veran et le secrétaire d’Etat au Numérique, Cédric O ont indiqué vouloir « lancer le projet StopCovid afin de développer une application qui pourrait limiter la diffusion du virus en identifiant des chaînes de transmission ». L’objectif serait ainsi de « prévenir les personnes qui ont été en contact avec un malade testé positif afin de pouvoir se faire tester soi-même, et si besoin d’être pris en charge très tôt, ou bien de se confiner. »

Les conditions d’un tel projet seraient organisées autour de quelques principes précis : une installation volontaire et désactivable à tout moment, la possibilité de prévenir tous les contacts d’une personne déclarée positive au coronavirus et sans recours à la géolocalisation, l’utilisation du Bluetooth (en lien avec un projet européen en cours, mené à la fois par l’Allemagne, la France et la Suisse). Face aux critiques émises ces derniers jours vis-à-vis d’un tel projet, les ministres ont évoqué des garanties, tout en soulignant la nécessaire association de la CNIL : l’anonymisation des données, l’effacement des données au bout d’une période déterminée et l’absence d’accès à la liste des personnes contaminées et des chaînes de contamination.

Un tel projet n’est pas sans précédent et notamment sur les conditions de la collecte en masse de données personnelles et ses conséquences sur la vie privée des individus, par exemple dans le cadre de la lutte contre le terrorisme. A ce stade, plusieurs observations peuvent ainsi être formulées au regard des contours de cette application et des garanties à apporter.

Données personnelles, données anonymisées ?

Un premier enjeu vise à déterminer les données collectées et traitées par une éventuelle application de tracing, pour estimer si des données personnelles sont concernées ou non, à quel niveau et avec quelles conséquences en terme de vie privée, de respect des droits des personnes physiques et d’information.

Les conditions de recueil de ces données doivent aussi être pris en compte. A ce titre, l’annonce de l’utilisation du Bluetooth a déjà considérée comme présentant moins de risques que l’utilisation d’applications de géolocalisation par la CNIL (Le Monde, 7 avril 2020). Ces aspects doivent néanmoins être évalués pour déterminer les données collectées et les risques liés (en terme de construction de profils ou d’agrégation de données par exemple). Le volume de données traitées fait aussi partie intégrante du débat. En effet, les discussions sur la directive 2006/24/CE sur la conservation des données ont souligné - jusqu’à son annulation par la CJUE - les risques liés à la collecte de données de connexion et à leurs conséquences sur la vie privée.

Alors que l’anonymisation des données est présentée comme un sésame permettant et facilitant la mise en œuvre de cette application, plusieurs points doivent être rappelés. D’abord que la frontière entre données et données personnelles est délicate à établir. Et que la question de l’anonymisation des données reste un point crucial et complexe en pratique. Les annonces faites à ce sujet semblent montrer une inflexion : il y a aura bien des formes de collecte et de traitement de données personnelles avant d’envisager ensuite une anonymisation de ces données.

On rappellera pour mémoire que l’anonymisation de données personnelles obéit à des conditions strictes et énoncées par le G29 (qui rassemble les autorités de protection des données en Europe) dans son avis de 2014 et rappelées par le considérant 26 du RGPD. A ce titre, pour que des données soient anonymisées, aucun individu ne peut être isolé et identifié, les données ne peuvent être corrélées pour être identifiées et de la même façon et il ne peut être possible de déduire des informations sur un individu à partir de données anonymisées.

Le principe est clair, l’anonymisation doit être irréversible. Or la réalité est plus contrastée, du fait des risques résiduels potentiels et du difficile encadrement de techniques en pleine évolution, alors que la masse de données concernées est exponentielle. C’est pour cela que les autorités de contrôle en matière de protection des données ont souvent insisté sur le traitement des risques, résiduels ou non et sur l’évaluation des techniques d’anonymisation.

Il paraît ainsi essentiel que la technique d’anonymisation soit détaillée voire publiée en open-source afin de s’assurer de la conformité des outils utilisés et d’apporter les garanties nécessaires. C’est la démarche suivie par Google qui a proposé en open-source sa méthode d’anonymisation Differential privacy. Et c’est la démarche qui paraît à l’œuvre aujourd’hui.

Quel consentement ?

La détermination du cadre juridique de cette application constitue un second enjeu. A ce titre, la question du recours au consentement comme base légale de cette application suscite quelques questions. En effet, s’il ne paraît pas forcément nécessaire de recourir au consentement du fait des autres bases légales envisageables (obligation légale ou intérêt public), celui-ci a néanmoins été envisagé comme une piste de travail. Avec toutes les conséquences que cela entraîne : un acte positif éclairé (opt-in accompagné d’une information détaillée pour l’utilisateur), la possibilité de retirer son consentement à tout moment, un encadrement des traitements ultérieurs et des garanties sur l’information et la transparence (rappelons à ce sujet que la CNIL a formulé régulièrement des exigences fortes en termes de legal design).

De plus, si le recours au consentement constitue un signal clair vis-à-vis des autorités de protection des données et la marque du recours au volontariat, il n’en reste pas moins que l’ensemble des autres obligations applicables doivent être mises en œuvre et notamment pour garantir les droits des personnes concernées.

Un projet liberticide ?

Un tel projet est-il envisageable aujourd’hui, en l’état du cadre législatif et réglementaire ? A priori et compte tenu des quelques informations fournies, rien ne semble s’opposer à la mise en œuvre d’une telle application sous réserve de la prise en compte des garanties applicables à ce droit fondamental à la protection des données personnelles, encadré et protégé par l’article 8 de la convention européenne des droits de l’homme, l’article 8 de la Charte des droits fondamentaux et l’article 16 du traité sur le fonctionnement de l’Union européenne (TFUE).

Les doutes et les réserves légitimes émis sur la mise en œuvre d’un tel projet ont cependant le mérite d’en souligner les risques potentiels, risques qui doivent être pris en compte et évalués.

L’évaluation de ces risques est déjà en partie encadrée par les outils prévus par le droit de la protection des données personnelles mais aussi par les critères rappelés par la Cour de justice de l’Union européenne dans sa jurisprudence. Critères qui fournissent par analogie un cadre largement transposable aux discussions en cours. A ce titre, la Cour a souligné dans ses arrêts Digital Rights du 8 avril 2014 et Télé2 du 21 décembre 2016 l’importance de mettre en place des garanties suffisantes et des règles précises, d’autant plus lorsque des traitements automatisés devaient intervenir. De la même façon le raisonnement de la Cour signale si besoin était les questions à prendre en compte (finalités envisagées, nature des données visées, respect de la confidentialité, conditions d’accès et de conservation des données, modalités de contrôle et d’exercice des droits…).

Dans le cas de la collecte et du traitement de données personnelles par cette application éventuelle, la loi Informatique et libertés délimite le cadre à mettre en place pour garantir que cet outil soit privacy by design. Si la question d’une analyse d’impact au sens de l’article 35 du RGPD se pose à juste titre au vu du risque élevé pour les droits et les libertés des personnes, celle-ci devra intégrer une description systématique des opérations de traitement, de leurs finalités et notamment une évaluation de leur nécessité et de leur proportionnalité. Les mesures envisagées pour faire face aux risques devront aussi être présentées.

La question de la sécurité des données est également cruciale, cet impératif constituant un enjeu à part entière de la protection des données personnelles pour assurer des conditions de collecte et de conservation sécurisées et adaptées. Les conditions d’accès à ces données doivent aussi assurer la plus grande confidentialité et faire l’objet de procédures dédiées (qui a accès aux données, comment, pour quelles finalités etc…). Les récentes cyberattaques dont ont été victimes certains hôpitaux ou l’AP-HP témoignent de l’actualité de cette question.

Une application provisoire ?

Application destinée à prévenir et à contenir le COVID-19, cette application devrait être limitée dans le temps. Les conséquences à en retirer au regard du droit de la protection des données sont cependant délicates : en effet, comment déterminer aujourd’hui la durée de conservation des données ou de certaines données, alors que la durée de l’épidémie reste incertaine ? Comment garantir la destruction effective des données au-delà de la durée de conservation prévue ? Des garde-fous sont-ils prévus pour encadrer les risques résiduels en cas de conservation de données anonymisées ? Un suivi dans le temps du caractère provisoire de cette application sera en tout état de cause nécessaire.

Alors que la lutte contre l’épidémie de COVID-19 paraît nécessiter la mise en place de tous les outils utiles, au nom d’une efficacité légitime, la mise en œuvre d’applications de géo-tracing n’en reste pas moins délicate pour garantir un haut niveau de protection des données et limiter les risques sur la vie privée. Une application européenne telle qu’évoquée par le contrôleur européen à la protection des données (cf. l’intervention du Contrôleur européen à la protection des données le 6 avril dernier) aurait pu constituer une piste intéressante mais une telle solution semble cependant hors d’atteinte, du fait de la pression des agendas nationaux et des différences de sensibilité nationale sur ces sujets. Il n’en reste pas moins que la mise en place d’une telle application constituera un précédent, précédent qui doit être encadré pour prévenir tout risque de dérive.

Jérôme Deroulez, avocat aux barreaux de Paris et de Bruxelles, magistrat en disponibilité