Le traitement des données mobiles des individus: un moyen de répondre à la crise sanitaire?

Par:

A l’heure où plusieurs pays envisagent le déconfinement, l’utilisation des données mobiles est considérée comme un moyen incontournable pour lutter contre l’épidémie de coronavirus COVID-19. Les multiples initiatives déjà prises à travers le monde, y compris en Europe, apportent un éclairage intéressant à travers leur différence de mise en œuvre et les risques qu’elles comportent (1).

C’est dans ces circonstances et à la suite de l’inquiétude manifestée par le Comité Européen de la Protection des Données (CEPD), que la Commission Européenne a mis en place une boîte à outils destinée à définir une approche pan-européenne sur la manière d’utiliser les applications mobiles pour répondre à la crise sanitaire. Elle a ainsi adopté, le 8 avril dernier, une Recommandation2 destinée à être régulièrement mise à jour tant que la crise persistera. Le même jour, la Présidente de la CNIL, Marie-Laure Denis3, a également rappelé que le droit des données personnelles « ne s’oppose pas à la mise en œuvre de solutions de suivi numérique, individualisé ou non, pour la protection de la santé publique » à condition toutefois de les accompagner de garanties d’autant plus fortes que les technologies utilisées seront intrusives (2).

1. L’éclairage des initiatives gouvernementales sur les risques d’atteinte aux libertés fondamentales

L’actualité internationale a récemment fourni de nombreux exemples de gouvernements ayant déployé des applications mobiles pour lutter contre l’épidémie.

  • Les finalités recherchées pour lutter contre la crise sanitaire

Des applications variées ont ainsi vu le jour, dont certaines à l’initiative des autorités publiques, basées sur l’exploitation des données de géolocalisation et sur trois finalités principales : 1) vérifier le respect des mesures de distanciation sociale et de confinement (ex : en Corée du Sud ou en Pologne), 2) cartographier la propagation du virus et tenter d’en maîtriser l’évolution (ex : Chine ou Singapour), 3) opérer un suivi des contacts entre les individus (« contact tracing ») pour rompre la chaine d’infection et prévenir la résurgence de la contamination en phase de déconfinement (ex : Israël et Chine).

  • Une localisation individuelle ou collective selon les zones géographiques

Si ces trois principales finalités apparaissent tout à fait légitimes pour lutter contre l’épidémie, les conditions de traitement des données ont été assez différentes. Comme l’a indiqué la Présidente de la CNIL, dans son audition du 8 avril, certaines tendances ont pu être dégagées selon les zones géographiques. Ainsi, la collecte de données individuelles a été choisie en Asie et au Moyen Orient, souvent sur une base obligatoire. Alors que dans la plupart des pays européens, une approche volontaire a été souvent privilégiée avec une collecte de données agrégées et souvent anonymisées. Ainsi, en Italie, en Autriche, en Allemagne les opérateurs téléphoniques ont fourni des données visant à surveiller les déplacements des personnes et s’assurer du respect des mesures de confinement. En France, Orange, a communiqué les données de localisation de ses clients à l'institut français de la recherche médicale (INSERM) pour permettre aux chercheurs de modéliser la propagation de la maladie.

2. Un traitement des données mobiles respectueux des libertés fondamentales

Dans le contexte actuel où l’efficacité de ces applications mobiles pour lutter contre l’épidémie reste encore à démontrer4, elles peuvent être un moyen utile pour sortir de la crise, notamment en tant que support d’information et d’alerte pour éviter la propagation et aider à un déconfinement progressif. Quel serait alors le cadre juridique à respecter?

  • Le cadre général de la Directive e-Privacy et du RGPD

    - Le principe du consentement et les garanties à apporter

Dès lors que le traitement des données de localisation, des données de déplacement individuel ou de santé ne peut être justifié par un texte de loi spécifiquement adopté pour répondre à la crise sanitaire et apportant les garanties nécessaires, le consentement des personnes concernées reste la principale base légale possible. Or, les conditions du « consentement » valide selon le RGPD (spécifique, éclairé, univoque et informé) peuvent rendre difficile sa mise en place effective. Par ailleurs, un tel traitement des données est tenu de respecter toutes les autres garanties en terme de sécurité, limite de conservation des données, transparence, proportionnalité, etc.

    - Privilégier l’anonymisation des données

Il serait donc recommandé, en conformité avec le principe de minimisation de recourir principalement à des données anonymisées de manière irréversible et agrégées, ce qui permettrait de limiter autant que possible l’application de la règlementation des données personnelles.

  • Une approche européenne pour lutter contre le coronavirus COVID-19

Cette approche est confortée par la Recommandation de la Commission Européenne, qui fournit aux Etats Membres une des principes communs pour le développement d’applications mobiles de traçage et l'utilisation de données de mobilité dans le cadre de la lutte contre l’épidémie. Outre le respect des principes fondamentaux du RGPD (sécurité des données, information, transparence, éviter toute stigmatisation, etc.), elle rappelle ainsi aux Etats la nécessité de:

  • limiter les applications mobiles aux seules finalités (i) de mise en œuvres de mesures efficaces et ciblées et (ii) d’alerte, prévention et détection de contacts pour aider à limiter la propagation de la maladie coronavirus COVID-19:
  • interdire toute autre utilisation notamment celle visant à faire respecter la règlementation en vigueur ou à des fins commerciales;
  • évaluer de manière régulière la nécessité de maintenir ce dispositif et le traitement des données;
  • privilégier les technologies les moins intrusives en utilisant les données de proximité et non de localisation, en préférant le Bluetooth au GPS;
  • recourir à des mesures de sécurité fiable (cryptage, mesures de cybersécurité, etc.);
  • privilégier le chargement des données sur le terminal dans le cadre du « contact tracing » afin que l’utilisateur en conserve la maîtrise;
  • assurer un caractère temporaire à ces applications et d’anonymiser dès que possible et surtout supprimer, de manière irréversible, les données dans les 90 jours ou au plus tard lorsque la pandémie sera déclarée sous contrôle.

Le succès des applications mobiles dans la lutte contre le coronavirus COVID-19 nécessitera qu’elles soient utilisées par le plus grand nombre, ce qui suppose une confiance des utilisateurs, laquelle dépendra des garanties qui seront apportées dans leur mise en œuvre pour protéger leurs droits fondamentaux.


1Le traitement des données mobiles des individus: un moyen de répondre à la crise sanitaire?: Nos remerciements à Divija Shanmugathas, stagiaire pour son aide précieuse.
2Recommendation C (2020)-2296 [Recommendation on a common Union toolbox for the use of technology and data to combat and exit from the COVID-19 crisis, in particular concerning mobile applications and the use of anonymized mobility data].
3Audition commission des lois, Assemblée Nationale, Propos liminaires de Madame Marie-Laure Denis, Présidente de la CNIL en date du 8 avril 2020.
4Nous ne traitons pas ici des applications mobiles proposant un auto-diagnostique des symptômes pouvant être qualifiées de DM (Dispositif Médical) mais uniquement des applications traitant les données de géolocalisation.