Lundi 16 mars 2020, pour la première fois en France, tous les téléphones portables ont reçu un SMS du Gouvernement relayant les mesures exceptionnelles prises pour lutter contre la propagation du Covid-19.
80 millions de messages ont ainsi été envoyés, alors même que le numéro de téléphone d’un individu constitue une donnée personnelle au regard du Règlement Général pour la Protection des Données (RGPD).
Respect ou contournement du RGPD ?
Si le RGPD met en place des mesures contraignantes vis-à-vis de la protection des données personnelles, il prévoit néanmoins des cas dans lesquels leur traitement est autorisé, malgré l’absence de consentement de l’individu. Ainsi, l’article 6 prévoit que « Le traitement n'est licite que si, et dans la mesure où, au moins une des conditions suivantes est remplie : (...) le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d'une autre personne physique ou le traitement est nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement ».
Le Gouvernement a donc sollicité, de façon parfaitement licite, les opérateurs téléphoniques nationaux pour leur demander l’envoi du message.
Le GDPR a bien été respecté, mais jusqu’où peut aller l’ouverture aux données privées ?
Sur les conseils du comité d’urgence instauré par l’Élysée à la mi-mars, le gouvernement a annoncé qu’il étudiait « l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées. ». A l’instar de plusieurs pays déjà, il s’agirait de pratiquer un backtracking, consistant à « tracker » l’historique de déplacement des personnes infectées par le Covid-19.
En Italie, cette mesure de backtracking a été lancée le jour même du confinement, le 9 mars 2020, sans l’aval de l’Union Européenne, mise devant le fait accompli.
Le 19 mars, le Comité Européen de la Protection des Données (CEPD) a levé l'interdiction de l'échange et du traitement des informations personnelles des citoyens, pourtant droit constitutionnel, renforcé par le RGPD. Dans un communiqué titré "Déclaration sur le traitement des données personnelles dans le contexte de l'épidémie de Covid-19", le CEPD a ainsi déclaré que "le RGPD permettait aux autorités sanitaires compétentes de traiter les données personnelles dans le contexte d'une épidémie, conformément au droit national et dans les conditions qui y sont fixées." Et de poursuivre "Dans certains États membres, les gouvernements envisagent d'utiliser les données de localisation mobile pour surveiller, contenir ou atténuer la propagation de Covid-19. Cela implique, par exemple, le fait de géolocaliser des individus ou de leur envoyer des messages de santé publique dans une zone spécifique par téléphone ou message texte."
Depuis, une multitude d’acteurs d’horizons divers s’est engouffrée dans cette brèche, à l’instar de l’Institut Big Data de l’Université Oxford qui a développé une application pour suivre les contacts entre les personnes. En France, l’application CoronApp, développée en 72h par de jeunes informaticiens parisiens, fait de même. En Belgique, la plateforme prédictive Dalberg Data Insights annonce pouvoir prédire les zones géographiques dans lesquelles le virus va se propager.
Depuis, la Commission européenne a demandé aux opérateurs de télécommunication de fournir « leurs métadonnées mobiles anonymisées pour mieux analyser les modes de diffusion du coronavirus ».
Huit opérateurs européens ont accédé à cette requête : Orange, Deutsche Telekom, Vodafone, Telefonica, Telecom Italia, Telenor, Telia et A1 Telekom Austria.
Interrogé sur Europe 1 le 26 mars dernier, le PDG d'Orange Stéphane Richard expliquait déjà travailler avec des épidémiologistes de l'Institut National de la Santé et de la Recherche Médicale (Inserm) afin d’affiner les modèles de transmission de virus grâce aux données mobiles. « Nous ne transmettons pas vos photos, vos contacts… uniquement votre géolocalisation », affirmait-il, avant d'ajouter : « Et ce sont des données agrégées et anonymisées. ».
Anonymisées et agrégées, les données ne relèvent plus du champ d’application du RGPD.
Wojciech Wiewiórowski, le directeur du CEPD, tente de rassurer quant à la préservation des libertés fondamentales, en précisant que toute société privée qui manipulera les données devra impérativement appliquer les mesures de sécurité et respecter des règles strictes de confidentialité.
La préservation des données personnelles, une question purement européenne ?
Alors que le débat prend de l’ampleur en Europe, d’autres pays, asiatiques principalement, ont moins tergiversé sur la question de l’utilisation des données personnelles.
Sans même citer la Chine et sa conception très particulière des droits individuels, l’Iran, la Thaïlande ou encore Hong-Kong ont appliqué très largement le suivi des personnes. Pour l’Inde ou Bahreïn, c’est le « contact tracing » qui a prévalu. En Israël, le Shin Bet (le service de sécurité intérieure) piste quant à lui pendant trente jours la géolocalisation des téléphones des personnes contaminées.
En Corée du Sud, mondialement saluée aujourd’hui pour la gestion et la maîtrise de sa crise sanitaire, l’utilisation des données personnelles a été massive, cumulant le traçage des personnes, le partage de leur état de santé, la géolocalisation… un renoncement à un pan entier de la vie privée au profit du collectif. Possible et accepté par la population, d’abord grâce à un terreau culturel favorable, et par les moyens (tests, masques) déployés dans le pays pour permettre des résultats probants, et donc éviter tout débat.
En Europe, il semble peu probable que de telles mesures soient acceptées ni même proposées, tant elles nous éloigneraient des principes démocratiques et de liberté aux fondements de notre construction.
Pourtant, le 1er avril, Edouard Philippe, Premier Ministre français, a ouvert encore un peu la porte au tracking étatique, en déclarant devant les députés qui l’auditionnaient dans le cadre d’une mission d'information parlementaire sur l'épidémie : «Ces dispositifs en France n'existent pas parce qu'ils ne seraient pas légalement permis (...). On pourrait peut-être, (...) sur le fondement d'un engagement volontaire, utiliser ces méthodes pour mieux tracer la circulation du virus et les contacts réalisés par (...) chacun mais nous n'avons pas d'instrument légal», ajoutant : «Un tracking volontaire, c'est une question qui est à ce stade encore ouverte».
Nul doute que ces propos, et l’hétérogénéité des mesures internationales, avivent les tensions contradictoires naissantes, entre efficacité sanitaire dans un contexte digitalisé et respect des droits fondamentaux, au cœur de l’émotionnel et du ressenti individuel.
La « ligne grise » entre les deux dépendra des usages, volontaires ou subis, qui seront faits de nos données, et des ressentis de chacun sur l'intrusion ou pas dans l'espace privé.
Les prochains mois vont s’avérer cruciaux pour établir la confiance vis-à-vis des mesures exceptionnelles prises face à la pandémie et garantir l’encadrement le plus approprié des entailles aux droits fondamentaux. Accompagner l’évolution des règles éthiques semble indispensable et urgent, pour trouver un équilibre entre enjeux d’efficacité et risques liés aux mauvais usages, volontaires, involontaires ou détournés, de nos données personnelles.