Crise sanitaire et tracing : quelle protection pour les données personnelles ?

Partager sur facebook
Partager sur google
Partager sur twitter
Partager sur linkedin

La crise du COVID-19 continue de bouleverser le fonctionnement de chaque pan de nos sociétés. Avec le projet d’application StopCovid, le gouvernement entend mettre en place un système de tracing pour aider à assurer la sécurité sanitaire des citoyens. Si l’idée correspond à une mission d’intérêt public sur le papier, comment est-elle appliquée, notamment sur le plan juridique ?

 

Diane Richebourg, avocate en droit bancaire et financier / Fintech chez DS Avocats, nous éclaire sur ce contexte inédit. 

 

 

Comment définiriez-vous le tracing en quelques mots ?

 

Le tracing consiste à pouvoir tracer, suivre ou évaluer l’utilisation, qui peut notamment s’effectuer par la géolocalisation ou par Bluetooth, d’un usage ou d’une application par une personne par le bais de son smartphone, ou tout autre appareil le permettant. Le tracing existe depuis de nombreuses années déjà, et il prend actuellement une ampleur encore différente sur le plan juridique depuis la mise en vigueur du RGPD, même si la CNIL s’assurait déjà de la protection des données des utilisateurs : ces derniers peuvent accepter ou refuser que ces informations soient utilisées à des fins de tracing. Dans le cadre des applicatifs « Covid 19 » développés par plusieurs pays, il s’agit de « contact tracing » dont l’objectif est de tracer / enregistrer les contacts ayant pu avoir lieu entre les différentes personnes par le biais d’identifiants Bluetooth chiffrés.

 

 

On parle souvent de tracing, et aussi de tracking. Pouvez-vous nous dire en quoi ils sont différents sur le plan juridique ?

 

Le tracing vise plutôt la possibilité de garder en mémoire les contacts entre les personnes via le Bluetooth par exemple tandis que le tracking s’apparente à un suivi des déplacements via les données de géolocalisation. Dans le cas des applicatifs « Covid 19 », le tracing va garder en mémoire les contacts entre les personnes via le Bluetooth et le tracking va plutôt permettre de suivre des déplacements via les GPS des smartphones et les antennes-relais. Mais les deux tendent au recueil  de données personnelles qui permettent de suivre le parcours du possesseur d’un smartphone ou tout équipement équivalent, et de connaître ses habitudes.

 

 

Comment le tracing peut coexister avec la protection des données personnelles ? Jusqu’à quel degré sommes-nous protégés ?

 

Juridiquement, le cadre existe en France et en Europe conformément au RGPD. Il faut une base légale du RGPD pour opérer le recueil et le traitement des données personnelles. Par exemple, pour l’application StopCovid, que le gouvernement souhaite mettre en place, c’est la base légale de la mission d’intérêt public qui est envisagée. Celle du consentement est également évoquée. Dans le cas où la base légale retenue serait celle de la mission d’intérêt public, cela n’exclurait évidement pas le principe du volontariat (les personnes / utilisateurs ne devront pas se trouver dans une situation qui les obligerait à utiliser l’applicatif).

 

 

Sur le plan juridique est ce que cela va changer des choses dans notre quotidien, sur le court ou long terme ? Allons-nous vers un tracing généralisé ?

 

Je ne pense pas que nous prenions la direction d’un tracing généralisé. Mais comme le signale la CNIL, le tracing mis en place dans le contexte que nous vivons pose en effet des questions quant à la protection des données personnelles. Sur ce point, nous vivons une situation inédite. N’oublions pas que le RGPD est finalement en place depuis peu de temps, et nous ne cessons de nous interroger sur chaque nouveau cas et chaque situation qui se présentent. S’il est assez précis sur certains points, le RGPD reste tout de même général sur d’autres. C’est donc par la pratique que nous pouvons affiner les choses.

 

La crise sanitaire actuelle nous confronte au traitement des données de santé, qui sont des données sensibles. Nous nous retrouvons dans un contexte inédit par rapport à une décision d’ordre gouvernemental, avec une mission d’intérêt public : est-ce que l’État peut s’accorder le droit d’accéder à ces données ? Si on cumule le procédé du tracing, la sensibilité des données concernées et l’implication du gouvernement dans ce processus, nous nous retrouvons face à un cadre assez complexe et il n’en demeure pas moins que le RGPD doit être respecté. Cette opération sera suivie de près par les autorités indépendantes comme la CNIL. L’objectif est d’éviter que le gouvernement ne collecte des données de santé afin de les exploiter et de les désanonymiser. Une fois la crise dépassée et que l’application StopCovid ne sera plus utile, il faudra bien s’assurer que les données recueillies sont supprimées. La CNIL et toutes les autres instances européennes sont très vigilantes sur ce point et étudient de près ce projet d’application. En tout état de cause, le cadre juridique existe : c’est le RGPD. Et même s’il est appliqué et pleinement respecté, il faut surtout que règne un climat de confiance. Il faut procéder avec transparence et pédagogie, en faisant appel à des tiers de confiance. En balisant le cadre et en s’assurant des protocoles suivis, cette mission sera menée à bon port.

 

 

La crise sanitaire est très révélatrice : si l’Europe politique a globalement échoué, peut-on dire que l’Europe juridique a montré son efficacité ? 

 

Oui tout à fait, c’est là qu’on voit qu’une réglementation commune en Europe est importante. Tout le monde est protégé de la même manière. Si une application européenne devait être proposée, elle devrait respecter le RGPD. En revanche, le RGPD ne s’applique qu’aux Etats membres et aux ressortissants de l’Union européenne. Il reste donc des questions relatives à la protection des données personnelles sur le plan international.

 

 

L’après crise : de nouvelles questions ? Comment voyez-vous l’avenir concernant la protection de donnés ? Allons-nous vers un système avec de plus en plus de réglementations ?

 

Nous n’avons pas encore assez de recul pour savoir si notre arsenal juridique doit être revu ou complété. Actuellement, nous disposons du RGPD qui se révèle être un cadre qui offre une protection assez complète de nos données. Nous avons aussi constaté la réactivité des autorités suite à l’arrivée de la crise sanitaire. Le RGPD s’applique aujourd’hui de façon très concrète.  Je pense que nous aurons des précisions à apporter et des choses à affiner via la mise en pratique. Les autorités des différents pays européens et les autorités européennes doivent également communiquer entre elles, et c’est grâce à cela que nous aboutirons à une application toujours plus harmonisée du RGPD dans les pays de l’Union européenne.