Selon Cédric O, Secrétaire d’État en charge du Numérique, les technologies qui se fondent sur l’analyse de données de localisation d’un individu ou retraçant son exposition pourraient permettre de limiter la diffusion du virus en identifiant des chaînes de transmission.
C’est dans ce contexte que Marie-Laure DENIS, Présidente de la Commission nationale de l'informatique et des libertés (CNIL), a été auditionnée par la Commission des lois de l’Assemblée nationale le 8 avril 2020. Dans son propos liminaire, cette dernière a rappelé que le cadre juridique que l’Europe et la France se sont données comporte, en lui-même, les solutions permettant de répondre à la situation.
I.Le cadre juridique
Le respect de la vie privée de chacun est protégé par de nombreuses dispositions nationales et supranationales.
L’article 9 du Code civil dispose ainsi que « chacun à droit au respect de sa vie privée ». Dans une décision du 23 juillet 1999 (Cons. Const., 23 juillet 1999 n°99-416 DC), le Conseil Constitutionnel a reconnu la valeur constitutionnelle de ce droit lequel est une composante de la liberté individuelle garantie par l’article 2 de la Déclaration des droits de l’homme et du citoyen de 1789.
Au-delà de nos frontières, de nombreux instruments supranationaux consacrent également ce droit au respect de la vie privée.
Tel est le cas de l’article 7 de la Charte des droits fondamentaux de l’Union Européenne ou de l’article 8 de la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales. Nous pouvons également citer l’article 12 de la Déclaration universelle des droits de l’homme adoptée à la sortie de la seconde guerre mondiale et disposant que « nul ne sera l'objet d'immixtions arbitraires dans sa vie privée ».
Le développement de l’informatique et des technologies du numérique a fait émerger le risque d’une intrusion accrue dans notre intimité. Aussi, le besoin d’instauration d’un Habeas Data s’est fait ressentir à partir de la seconde moitié du siècle dernier.
Aujourd’hui, il ne fait plus de doute que les données personnelles des individus sont une composante de leur vie privée et, qu’à ce titre, elles doivent également faire l’objet d’une protection.
L’instauration d’un cadre juridique aux fins de protection de nos données à caractère personnel fût donc l’objet de la loi n°78-17 du 6 janvier 1978 relative à l’informatique et aux libertés et de la directive « e-privacy » n°2006/24/CE de 2002 ou, plus récemment, du Règlement général n°2016/679 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) du 27 avril 2016.
On le constate, le droit à la protection de nos données à caractère personnel est consacré, mais surtout encadré juridiquement. Comme la majorité des droits, il est relatif et non absolu.
Aussi, il n’est pas étonnant que les textes mentionnés ci-avant ne s’opposent pas à la mise en œuvre de solutions de suivi numérique, individualisé ou non, notamment aux fins de protection de la santé publique. Cependant, et comme l’a rappelé Marie-Laure DENIS, ils instaurent certaines garanties afin d’éviter des dérives liberticides.
II. La mise en œuvre des principes en période de crise sanitaire
A. Champs d’application
Si le cadre juridique existe, encore faut-il qu’il soit applicable au suivi des individus dans le cadre de la lutte contre l'épidémie de coronavirus.
D’abord, les données objet du traitement doivent pouvoir être qualifiées de données à caractère personnel.
Selon le RGPD, constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable ». Il ajoute que « est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. (RGPD, article 4).
Aussi, le RGPD, mais aussi la loi Informatique et Libertés, ne s’applique pas en présence de données totalement et définitivement anonymes. En revanche, si une réidentification est envisageable, non seulement par le responsable du traitement, mais aussi par une réunion de plusieurs responsables du traitement par la mise en commun de leurs données, la donnée retrouvera son caractère personnel et son traitement sera donc soumis aux obligations stipulées par les textes (RGPD, Considérant 26).
A cet égard, si l’opérateur de Télécommunication Orange, qui a déjà commencé à exploiter certaines données obtenues grâce à ses utilisateurs, a affirmé qu’il s’agissait de données anonymes, il reste légitime de penser que la mise en œuvre par l’État d’un outil de « contact tracking » pourrait in fine permettre une réidentification de la personne objet du traitement, notamment au regard du pouvoir d’enquête de ce dernier (autorité judiciaire) et de sa faculté de croisement avec d’autres fichiers.
Dès lors, et à supposer que les données recueillies ne puisent véritablement être qualifiées d’anonymes au sens du RGPD, l’État devra respecter certaines obligations s’il souhaite mettre en oeuvre un outil de suivi des personnes.
B. L’exigence de respect des principes relatifs au traitement des données à caractère personnel
Le traitement des données de localisation dans le cadre de la lutte contre le COVID-19 (coronavirus) devra assurer une maîtrise par les personnes sur leurs données et respecter des principes essentiels.
Outre, son caractère licite, le traitement devra être adéquat, nécessaire et proportionné.
Le caractère licite du traitement est relatif à son fondement. Le traitement de données personnelles pourra être effectué soit parce qu’il a été « indubitablement » consenti par la personne intéressée, soit parce que prévu par un texte il poursuit une finalité jugée légitime.
De manière préférable, si un suivi individualisé des personnes était mis en œuvre, il faudrait que celui-ci soit fondé sur le consentement de l’intéressé lequel doit être libre et éclairé (Loi n° 78-17 du 6 janvier 1978, article 5 – RGPD, article 4 et article 7). En outre, le refus d’installer une application de suivi ne devra avoir aucune conséquence à l’égard de l’individu.
Si au contraire le dispositif de suivi des personnes était mis en place de manière obligatoire, il nécessiterait une disposition spéciale laquelle, eu égard au domaine de compétence du législateur tel que déterminé par l’article 34 de la Constitution, prendrait nécessairement la forme d’une loi. En effet, aux termes de cet article, c’est la loi qui fixe les règles concernant « les garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques ».
Le texte de loi tel qu’adopté devra démontrer pourquoi le traitement des données de localisation est adéquat, c’est-à-dire utile, pour répondre à la crise sanitaire.
Egalement, la ou les finalités du traitement des données de localisation devront être déterminées. Or, les exemples de l’étranger montre que ces finalités peuvent être diverses : respect du confinement et surveillance des déplacements (Corée du Sud, Pologne, Italie, Allemagne), identification des personnes exposées (Corée du Sud, Singapour) ou encore respect des directives en matière de distanciation sociale (Royaume-Uni).
Afin de préserver la confiance des citoyens, mais également de respecter les principes applicables, il importe que le traitement de données de localisation soit provisoire et que les données collectées ne puissent pas être ultérieurement traitées de manière incompatible avec les finalités déterminées par la loi. Ces finalités devront bien évidemment tendre vers un objectif de santé publique.
Une fois les finalités déterminées, c’est le caractère proportionné et nécessaire du suivi des individus qui devra être déterminé.
Sur la nécessité, il s’agira de démontrer en quoi l’utilisation des données de localisation n’est pas une simple solution de confort pour le gouvernement. Au contraire, les mesures prises devront être absolument nécessaires pour juguler la crise, notamment à raison de l’absence d’alternatives efficaces.
S’agissant du caractère proportionné de l’atteinte à la vie privé, il s’agit, comme l’a rappelé le Comité européen à la protection des données (CEPD) le 20 mars 2020, de privilégier les solutions les moins intrusives. Le respect de cette obligation s’appréciera notamment au travers de l'application du principe de minimisation des données collectées ou de limitation de la durée de conservation. En effet, selon la jurisprudence de la Cour de Justice de l’Union Européenne (CJUE), seule la conservation ciblée des données de connexion, limitée au stricte nécessaire, est justifiée dans une société démocratique (CJUE, 21 décembre 2016, C-203/15 et C-698/15).
Enfin, la Présidente de la CNIL a rappelé aux députés que techniquement, un dispositif de « contact tracking » devra, comme tout traitement, respecter le principe de transparence, assurer la sécurité des données et respecter les droits des personnes prévus par le RGPD.
Espérons que le gouvernement et le législateur s’attachent au respect de ces obligations.
A défaut la loi adoptée pourrait être déclarée contraire à la constitution car portant violation du droit au respect de la vie privée qui découle de l’article 2 de la Déclaration des droits de 1789. Cette censure suppose néanmoins que malgré l’urgence le Conseil Constitutionnel exerce effectivement son rôle de contrepoids qu’il n’a pas daigné assumer dans sa décision n°2020-799 DC du 26 mars 2020 ayant déclaré la loi organique d’urgence sanitaire constitutionnelle, notamment « compte tenu des circonstances particulières de l'espèce ».
Si d’aventure nos juridictions nationales n’élevaient pas leur niveau, il faudrait nous tourner vers Strasbourg, siège de la Cour européenne des droits de l’homme.
Par Mike BORNICAT, élève avocat
