Backtracking : comment concilier surveillance du Covid-19 et respect des libertés ?
Divers États ont mis à profit les technologies numériques pour lutter contre la propagation du coronavirus. La Corée du Sud recourt par exemple à la géolocalisation des personnes malades via leurs téléphones portables. Pour s’assurer du respect de la quarantaine, la Pologne utilise quant à elle une application mobile reposant sur des selfies pris par les patients.
Ces dispositions ne sont pas sans implications sur la vie privée des personnes, et posent de nombreuses questions. Alors que le gouvernement français envisage lui aussi la mise en place de mesures basées sur la géolocalisation, le Défenseur des droits Jacques Toubon souhaite un débat public sur les libertés, pour que l’État de droit ne soit pas galvaudé.
L’occasion de faire le point sur les garanties juridiques qui encadrent actuellement la mise en place d’un tel dispositif sur le territoire national.
L’app qui cache la forêt ?
Pour lutter contre la propagation du coronavirus SARS-CoV-2 et limiter les dégâts causés par la maladie Covid-19 qu’il provoque, les organisations et les États ont mis en œuvre des mesures d’urgence.
Parmi celles-ci, le « backtraking » consiste à collecter et traiter les données personnelles de géolocalisation GPS des téléphones des personnes porteuses du virus. Il permet par exemple de vérifier que les patients testés positifs au Covid-19 restent bien confinés à leur domicile. Le backtracking permet aussi de visualiser leurs déplacements et de repérer les individus susceptibles d’avoir été exposés au virus, lors de contacts avec les personnes infectées.
Cette méthode est utilisée par certains pays asiatiques tels que Singapour et la Corée du Sud, dont la gestion de la crise sanitaire est citée exemple. Ces États ont été fortement marqués par des épidémies antérieures telles que celles du SRAS et du MERS dans le cas de la Corée du Sud. Le backtracking reçoit donc l’adhésion de la population, et repose sur un solide fondement juridique.
En revanche, les mêmes moyens déployés dans d’autres contextes, tels que celui d’un État totalitaire, sont généralement très décriés. Il en est de même lorsque les données collectées sont rendues accessibles aux services du renseignement. En Israël, l’application gouvernementale « The Shield » (le Bouclier) alerte ses utilisateurs consentants dans le cas où ils auraient pu croiser un patient touché par le coronavirus, afin qu’ils se mettent en quarantaine. Mais l’agence de sécurité nationale, le Shin Bet, peut également accéder aux données collectées par The Shield grâce à une loi de 2002 lui permettant de se connecter aux bases de données des opérateurs sans l’aval de la justice.
En Europe, le commissaire européen chargé du marché intérieur, Thierry Breton, s’est entretenu avec plusieurs opérateurs télécoms – dont Orange et Deutsche Telekom – pour leur demander de fournir les données mobiles liées aux déplacements de leurs clients. Comment mettre en place ce dispositif à des fins de santé publique globale sans risquer un impact disproportionné sur nos libertés ?
Quels fondements juridiques pour le backtracking sanitaire
Le scandale Cambridge Analytica, l’entrée en vigueur du règlement européen sur la protection des données personnelles (RGPD) et la banalisation de la reconnaissance faciale ont sensibilisé le grand public aux risques du mésusage de ces mégadonnées ainsi qu’à l’impact des technologies numériques sur la vie privée et les libertés.
Le backtracking repose sur la collecte et le traitement de la géolocalisation parmi d’autres données à caractère personnel : comment le mettre en œuvre sans risquer de porter atteinte aux droits des personnes ni de les stigmatiser ? En réalité, dans ce contexte, le consentement individuel n’est pas requis ; la protection de la santé publique relève d’ailleurs des exceptions au RGPD et reste une compétence régalienne.
La collecte et le traitement de données sans le consentement de la personne sont en effet licites en cas de nécessité liée à l’intérêt public (art. 6-1 d et f). En particulier, le « traitement (…) pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé » est licite (art. 9-2 i). Enfin, la protection des intérêts vitaux de la personne ou d’une autre personne physique peut aussi être invoquée (art.9.2.c), et le considérant 46 se réfère explicitement au contrôle d’une épidémie :
« Certains types de traitement peuvent être justifiés à la fois par des motifs importants d’intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation. »
Ce ne sont donc pas les fondements juridiques qui font défaut. Est-ce valable pour la géolocalisation ?
Les règles spécifiques applicables pour la géolocalisation
Même en situation d’épidémie, un opérateur de services de télécommunications peut utiliser les données de ses clients à condition de les anonymiser. Ces précieuses données agrégées serviront à établir des cartes en temps réel, destinées par exemple à savoir combien de personnes se trouvent dans un endroit précis, sans pour autant que la traçabilité inversée (remonter vers un individu identifié) soit possible. Ces données contribuent directement à l’adaptation du système de soins.
Si l’anonymisation n’est pas possible, ou qu’elle n’est pas souhaitée par les autorités qui voudraient justement alerter les personnes dans le cadre de l’épidémie, alors le gouvernement utilisera la souplesse offerte par l’article 15 et introduira une législation poursuivant l’intérêt national ou la sécurité publique.
C’est bien là tout l’objet du débat démocratique souhaité par Jacques Toubon. La loi devra être nécessaire, appropriée et proportionnée dans le cadre d’une société démocratique, c’est-à-dire respecter la Charte des Droits fondamentaux de l’Union européenne et la Convention européenne de Protection des Droits de l’Homme et des Libertés fondamentales.
L’État devra aussi fournir des garanties appropriées, tel que la possibilité de poursuites judiciaires pour les personnes lésées (même si la loi sera susceptible de recours devant la Cour de justice de l’UE et la Cour européenne des droits de l’homme). Enfin, s’agissant d’une situation d’urgence, l’application du texte devra être strictement limitée à la durée de l’épidémie en question.
La réutilisation des données à des fins de recherche scientifique
Ce dernier aspect d’application du dispositif dans le temps pose la question de la pérennité de la mesure. À partir de quand pourra-t-on affirmer que l’épidémie est passée puisque les médecins eux-mêmes affirment qu’elle pourrait ressurgir ? La meilleure pratique serait de supprimer les données collectées lorsqu’elles ne sont plus utiles à moins d’une impérieuse nécessité telle que la recherche scientifique.
Cette hypothèse de réutilisation des données à des fins scientifiques, sans le consentement des personnes, reste possible sous réserve que des garanties appropriées soient adoptées (« clés de sécurité ») :
« Le traitement ultérieur (…) à des fins de recherche scientifique (…) n’est pas considéré, conformément à l’article 89, paragraphe 1, comme incompatible avec les finalités initiales (limitation des finalités » (art.5-1-b).
Si les données n’ont pas été obtenues directement auprès des personnes, les exigences usuelles de transparence sont assouplies. Ainsi, quand les patients ne peuvent pas être informés de façon individuelle (parce que la communication d’informations à la personne concernée se révèle impossible ou exigerait des efforts disproportionnés), il suffit de rendre publique l « information relative à la recherche scientifique, par exemple sur Internet (art.14-5-b). Les hôpitaux qui collectent les données directement auprès des patients les informent de la possible réutilisation de leurs données à des fins de recherche scientifique, par exemple avec une brochure, un avis ou notification sur les formulaires d’admission (art.13-3). Enfin, dans ce contexte le droit individuel d’opposition au traitement de ses données par une personne se trouve limité (art.21-6) ainsi que son droit à l’effacement (art.17-1-c et 17-3-d).
Des garanties à assurer
Au vu des circonstances exceptionnelles actuelles, certains peuvent considérer que le backtracking est une mesure proportionnée, y compris s’il implique le traitement de données de géolocalisation non anonymisées. De solides fondements juridiques permettent de mettre en place une telle mesure intrusive pour la vie privée, en invoquant un motif de santé publique.
Cependant, en considération des finalités sanitaires à atteindre, la solution la moins intrusive possible devrait toujours prévaloir. À ce titre, les modalités concrètes de mise en œuvre du backtracking doivent s’accompagner de garanties concernant :
- sa durée ;
- son champ d’application ;
- le cycle de vie des données ;
- leur durée de conservation ;
- la limitation des finalités d’utilisation ;
- la minimisation de l’étendue des données collectées ;
- la sécurité des données (confidentialité, intégrité, accessibilité et résilience).
Enfin, puisque le backtracking est relatif à des données sensibles, une étude d’impact sur la vie privée devra être mise en place s’agissant d’un traitement à grande échelle de catégories particulières de données (art.35-3-b) ou permettant la surveillance systématique à grande échelle d’une zone accessible au public (art.35-3-c). Le Comité européen à la protection des données a d’ailleurs publié une déclaration en ce sens.
L’Organisation mondiale de la Santé, qui souhaite passer à l’offensive dans la lutte contre le coronavirus, n’a plus qu’à placer le backtracking sur sa to do list : une coordination de l’exploitation des mégadonnées collectées par ses États membres à des fins de protection de la santé globale est devenue plus qu’opportune.
Cet article a initialement été publié sur The Conversation.
Étiquette:coronavirus, COVID-19, données de santé, épidémie, RGPD