Lors de son allocution du lundi 13 avril, le Président de la République a confirmé la volonté du gouvernement de déployer, afin d’accompagner la phase de déconfinement, une application numérique permettant de savoir si l’on s’est trouvé en contact avec une personne contaminée.
Cette méthode dite de « traçage numérique » a d’ores et déjà été adoptée par de nombreux pays tels que la Chine, la Corée du Sud mais également l’Allemagne, la Belgique, l’Espagne et l’Italie.
Alors que la réception par de nombreux Français du sms adressé par le gouvernement le premier jour du confinement avait soulevé certaines interrogations (1), la mise en place d’une telle application en appelle de nouvelles.
Santé et données à caractère personnel
Aux termes de l’article 67 de la loi Informatique et Libertés (2), il est possible pour les autorités publiques de procéder à un traitement de données à caractère personnel dans le domaine de la santé dont la seule finalité est de répondre, en cas de situation d’urgence, à une alerte sanitaire et d’en gérer les suites. Contrairement au régime général des obligations imposées par le RGPD, ce traitement bénéficie d’un régime dérogatoire allégé dans la mesure où, aux fins de conformité au Règlement Général sur la Protection des Données
(le « RGPD »), le responsable de traitement sera uniquement tenu de réaliser une analyse d’impact (3).
A priori rien ne s’oppose donc à un suivi numérique individualisé pour la protection de la santé publique. Néanmoins, plus les technologies sont intrusives, plus les garanties doivent être importantes.
Le projet CovidStop
D’après les informations transmises à ce jour, l’application CovidStop n’aurait pas accès aux données de géolocalisation du téléphone, contrairement à ce qui a pu être mis en œuvre en Corée du Sud ou en Chine.
Celle-ci permettrait, via l’utilisation du Bluetooth, de prévenir les personnes qui se sont trouvées à proximité d’une personne testée positive au Covid-19 (et ayant également installé l’application sur son téléphone). Ainsi, ces personnes pourront elles-mêmes être testées et isolées le cas échéant.
Le but de ce dispositif est d’étudier les chaînes de transmission pour tracer plus efficacement la propagation du virus.
Comme rappelé par le conseil européen de la protection des données (4), une telle application ne rencontrera pas d’obstacle si, comme annoncé, les conditions suivantes sont respectées :
1/ Le consentement
Le Président de la République a précisé que l’utilisation d’une telle application se fera « sur la base du volontariat ».
Or, au regard des dispositions du RGPD, est licite un traitement fondé sur une des bases légales listées. Le consentement de la personne concernée, lorsqu’il réunit les conditions suivantes : libre, éclairé, et sans conséquence pour la personne en cas de refus, constitue l’une de ces bases légales.
2/ Des données anonymes
Une donnée est dite anonyme au regard de la législation lorsqu’elle ne permet pas l’identification de la personne concernée.
Si les mesures reposent sur des données strictement anonymes, alors le traitement se situe hors champ d’application du RGPD. Dès lors, l’ensemble des dispositions relatives à la protection des données à caractère personnel ne trouvera pas à s’appliquer.
Alors que le sujet sera débattu à l’Assemblée et le projet final soumis à la CNIL, les précisions à venir permettront d’apprécier l’opportunité d’un tel dispositif.
(1) En vertu des dispositions de l’article L.33-1 du code des postes et des communications, les opérateurs de télécommunications sont dans l’obligation de diffuser, à leurs abonnés, les messages des pouvoirs publics destinées à prévenir la population d’un danger imminent ou d’une catastrophe majeure. Ainsi, aucun numéro téléphone n’a été transmis au gouvernement. Les opérateurs ont simplement acheminé le message de celui-ci à partir de leurs propres bases de données.
(2) Loi n°78-17 du 16 janvier 1978 relative à l’informatique, aux fichiers et aux libertés.
(3) Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel.
(4) Statement on the processing of personal data in the context of the COVID-19 outbreak adopted on 19 March 2020 – European Data Protection Board.
