Par Julia Apostle, avocate Counsel, et Juliette Crouzet, avocate, cabinet Bredin Prat

Enjeux juridiques

De quelles données parle-t-on et quel(s) régime(s) s’y applique(nt) ?

Le dispositif envisagé implique le traitement de plusieurs types de données : l’information selon laquelle l’utilisateur est porteur du virus, les données liées au terminal mobile – identifiant unique, durée de contact entre deux identifiants, proximité de ces identifiants. Il est aussi créateur de nouvelles données : le fait par exemple qu’un individu soit devenu une personne à risque, voire  sa « cote de risque » (risk scoring) qui pourrait être établie, selon le modèle DP-PPT, en fonction de son degré et sa durée de proximité avec une personne contaminée.

Ainsi qu’il a été décrit ci-dessus, les experts indiquent que l’utilisation de la technologie Bluetooth permet l’échange de données anonymes, l’individu correspondant ne pouvant pas être identifié. S’il est difficile de confirmer cette analyse sans connaître avec précision le fonctionnement de la technologie envisagée, il est techniquement compliqué d’anonymiser des données à caractère personnel et lorsque des données supposément anonymes sont croisées avec d’autres données, une réidentification est parfois possible. Quid par exemple du cas où vous n’auriez croisé au cours des derniers jours que 4 personnes, dont vous savez par ailleurs pour 3 d’entre elles qu’elles ont été testées négatives ? Vous saurez que c’est la 4e qui vous a contaminé.

En outre, il est possible que certaines de ces données ne restent pas entre l’utilisateur et son téléphone portable mais soient partagées, a minima avec les autorités de santé voire également avec les entreprises privées qui, en tant qu’employeurs, pourraient y voir une utilité (voir-ci-dessous). Dans ces circonstances, les données seraient corrélées à un individu identifiable.

Par conséquent, s’il est possible que certaines des données traitées soient anonymes, il est permis de douter du caractère anonyme de la technologie dans son ensemble et de toutes les données qui en émaneront. Sa conformité à la règlementation applicable – en particulier au RGPD et potentiellement à la Directive ePrivacy – devra donc faire l’objet d’une attention particulière, et ce d’autant plus que parmi ces données à caractère personnel figureront des données de santé, dont le traitement est par principe interdit.

L’utilisation d’une application de contact tracing supposerait alors de recueillir le consentement des utilisateurs, ou à défaut d’adopter une loi autorisant un tel traitement. C’est ce qu’a indiqué Marie-Laure Denis, Présidente de la Commission nationale de l’informatique et des libertés (CNIL), lors de son audition le 8 avril devant la commission des lois de l’Assemblée Nationale : « concrètement, il faut donc, dans la généralité des cas, soit que les données soient anonymes, soit le consentement, soit un texte qui, en France, devrait être une loi ».

Les orientations de la Commission européenne en matière de protection des données du 16 avril recommandent spécifiquement une base juridique fondée sur le consentement pour le traitement des données personnelles dans ce contexte. Pourtant, la voie du consentement comme celle de la loi présentent chacune d’importants obstacles juridiques.

Les enjeux juridiques liés à une utilisation de l’application sur la base du consentement

Si les données traitées par l’application sont entièrement anonymes, le RGPD ne s’appliquera pas. La Directive ePrivacy pourrait néanmoins s’appliquer, si les données de “proximité” sont couvertes par son article 5, 3. (transposé à l’article 82 de la Loi Informatique et Libertés). Si, en revanche, des données à caractère personnel sont traitées – c’est-à-dire des données pouvant donner lieu à l’identification directe ou indirecte d’un utilisateur –, toutes les dispositions du RGPD s’appliqueront. Les conditions applicables à la validité du consentement des utilisateurs, en particulier s’agissant d’un traitement de données sensibles telles que des données de santé, poseront alors difficulté.

  • Le consentement au traitement de données à caractère personnel doit en effet être libre (Article 4, 11. du RGPD).

Pour être valable, le consentement doit être libre, spécifique, éclairé et univoque. Le consentement n’est pas considéré comme ayant été donné librement lorsqu’il existe un « déséquilibre manifeste » entre la personne concernée et le responsable du traitement de données, par exemple si « le responsable du traitement est une autorité publique » (considérant 43 du RGPD). La Commission européenne recommande, néanmoins, que l’autorité sanitaire de chaque État Membre soit le responsable de traitement dans le cadre du déploiement d’application de contact tracing. La position de la Commission européenne, à savoir que les personnes devraient être invitées à consentir au traitement de leurs données dont les autorités publiques sont les responsables du traitement, est en contradiction avec les orientations données précédemment par le Comité européen de la protection des données (anciennement le groupe de travail « Article 29 » ou « WP29 ») selon lesquelles, dans la plupart des cas où une autorité publique agit en tant que responsable du traitement, il sera clair « que la personne concernée n’aura pas d’autre choix réaliste que d’accepter le traitement (les conditions) de ce responsable du traitement. Le WP29 considère qu’il existe d’autres bases légales qui sont, en principe, plus appropriées à l’activité des autorités publiques. »

C’est d’ailleurs ce que dénoncent certains députés dans une tribune parue le 8 avril craignant que la « pression sociale [fasse] naître un consentement induit » de la part des utilisateurs, qui ne serait alors pas valable juridiquement.

  • Le consentement doit être spécifique et éclairé (Article 4, 11. du RGPD).

En d’autres termes, l’utilisateur doit avoir été informé des modalités du traitement auquel il consent, et en particulier de ses finalités qui doivent être déterminées et explicites.

Or le caractère évolutif de la crise, des usages et de l’utilité potentiel(le)s que pourront revêtir ces données, risque de rendre la détermination précise et limitée de ces finalités, difficile. Comme indiqué par Marie-Laure Denis lors de son audition devant l’Assemblée Nationale : « il est aujourd’hui difficile, faute de recul suffisant, d’évaluer les bénéfices effectifs qui pourraient être tirés de l’utilisation de tels dispositifs, d’autant plus que les usages peuvent varier tant au niveau des données collectées que des finalités poursuivies. »

À ce stade, les finalités du traitement de données mis en œuvre via le contact tracing n’ont pas encore été clairement articulées. Une approche limitant l’usage à des finalités déterminées est donc nécessaire pour gagner la confiance des utilisateurs et permettre l’obtention d’un consentement valable. Néanmoins, en pratique, une telle approche risque de réduire l’utilité du dispositif en limitant les possibilités d’évolution de ses fonctionnalités.

D’un point de vue pratique, assujettir l’utilisation de l’application au consentement la priverait probablement d’un grand nombre d’utilisateurs, ce qui affecterait l’efficacité – et donc la nécessité – du dispositif dans son ensemble. Selon un sondage publié par le Journal du Dimanche le 12 avril, 46% des français étaient prêts à activer l’application sur leur téléphone. Selon certaines études citées par la Commission européenne dans sa « boîte à outils », il est nécessaire que 60 à 75% de la population utilisent l’application pour lui permettre d’être efficace.

L’alternative consistant en l’adoption de loi pourrait permettre de contourner les enjeux juridiques liés au consentement, mais va également avec son lot de difficultés.

Les enjeux juridiques liés à l’adoption d’une loi rendant obligatoire l’utilisation de l’application de contact tracing

Pour s’assurer de l’utilité d’une application de contact tracing tout en permettant d’encadrer son usage strictement par la mise en place de garde-fous dont le non-respect serait sanctionné, le gouvernement ne devrait pas se priver d’étudier l’adoption d’une loi qui rendrait l’utilisation de cette application obligatoire. Le risque de cette approche est que, selon notamment les données traitées et les usages autorisés, une telle loi pourrait constituer une atteinte au droit au respect de la vie privée consacré par l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés (CEDH), interprété conformément aux articles 7 (Respect de la vie privée et familiale) et 8 (Protection des données à caractère personnel) de la Charte des droits fondamentaux de l’Union européenne. C’est d’ailleurs ce qu’indique la Commission européenne dans ses recommandations : « Compte tenu des fonctionnalités des applications […], leur utilisation est susceptible d’affecter l’exercice de certains droits fondamentaux, parmi lesquels le droit au respect de la vie privée et familiale » (paragraphe 15 des recommandations du 8 avril).

Bien que l’article 8(2) de la CEDH prévoit que la protection de la santé puisse justifier une restriction par une autorité publique du droit au respect de la vie privée, cette ingérence doit respecter certaines conditions dont celle d’être « nécessaire dans une société démocratique ». L’État doit être en mesure de démontrer qu’il existe un besoin social impérieux justifiant cette ingérence, et les mesures adoptées doivent en tout état de cause être proportionnées à l’objectif visé. Cette exigence de proportionnalité et d’adéquation est également prévue par la jurisprudence du Conseil constitutionnel rendue en la matière.

Les États disposent d’une certaine marge d’appréciation dans l’évaluation du « besoin social impérieux ». Une loi pourrait intégrer des garde-fous de nature à limiter l’atteinte aux libertés fondamentales, tels que la restriction du type de données qu’une telle application pourrait traiter, l’anonymisation obligatoire. En outre, la finalité pour laquelle l’application serait utilisée serait explicite et déterminée (et limitée à la crise du Covid-19), et toute utilisation des données pour d’autres finalités ou communication de ces données à des tiers seraient explicitement interdites ou clairement définie.

Cela étant dit, quel que soit son contenu, une telle loi est susceptible d’être contestée. L’État devra alors être en mesure de démontrer un lien de causalité clair entre le traitement de données mis en œuvre par le biais des technologies de contact tracing et la protection de la santé des individus. En d’autres termes, la technologie doit être efficace et il doit pouvoir être prouvé que son usage contribue à réduire la propagation du Covid-19. À défaut, le caractère nécessaire et proportionné de l’atteinte au droit au respect de la vie privée pour les besoins de la protection de la santé sera difficile à soutenir. Or l’efficacité d’un tel dispositif dépendra en grande partie de la politique de dépistage mise en œuvre par le gouvernement et du nombre d’utilisateurs effectifs de cette technologie. Emmanuel Macron a annoncé le 13 avril que seuls les individus présentant des symptômes seraient testés. Cependant, selon certaines études, 30 à 60% des individus contaminés n’ont pas ou peu de symptômes.

Conclusion

Le déploiement d’une application de contact tracing rapide est confronté à de multiples difficultés : questionnements autour du degré d’anonymat des données, difficulté à gagner la confiance et l’adhésion des utilisateurs, validité du consentement, difficulté politique à faire adopter une loi imposant l’usage d’une telle application.

Si les nouvelles technologies et l’exploitation de données sont des moyens précieux pour aider à la gestion d’une pandémie de cette ampleur, les réponses doivent être réfléchies eu égard aux enjeux juridiques et aux difficultés techniques qu’elles soulèvent. L’utilisation d’une l’application reposant sur le consentement pourrait ne pas aboutir aux résultats escomptés. Une utilisation imposée par une loi pourrait fournir une base juridique, intégrer des garde-fous et renforcer son efficacité, mais cette approche est susceptible d’être contestée, en particulier si elle ne s’accompagne pas de tests généralisés de la population. Il est probable que l’approche choisie, plébiscitée par les institutions européennes et de protection des données en dépit des obstacles juridiques qu’elle comporte, soit celle du consentement qui est en outre moins susceptible d’être contestée que l’adoption d’une loi imposant l’usage d’une telle application. Néanmoins, sans adoption massive et adoption d’autres mesures de prévention de grande ampleur, StopCovid ne sera qu’une opportunité manquée.

 

Lire aussi : « Le contact tracing pour accompagner le déconfinement : solutions techniques et initiatives politiques »

 

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]S’abonner à la newsletter du Club des juristes[/vcex_button]