A l’ère du Covid-19, vers la légalisation en Europe d’un « backtracking » inédit ?
Corinne Thiérache et Alice Gautron
• Le pistage en temps réel des données mobiles de millions d’abonnés pour évaluer la transmission du virus
Pour tenter de faire face à la pandémie désormais mondiale du Covid-19, les gouvernements de nombreux pays misent sur le suivi des données de géolocalisation de leurs citoyens contenues dans leurs équipements mobiles afin de limiter la propagation du virus en retraçant leurs mouvements et leurs déplacements en temps réel.
Après le premier exemple des pays asiatiques, et notamment Taïwan et Singapour qui appliquent une version très ferme du « backtracking », l’Union européenne ne fait pas exception. En effet, le 23 mars 2020, le Commissaire européen chargé du marché intérieur, Thierry Breton, a demandé à plusieurs opérateurs télécoms nationaux, dont Orange en France, de fournir les données de leurs clients aux autorités publiques liées à la localisation géographique de ces derniers. En France, un comité composé de chercheurs et de médecins est réuni depuis le 24 mars pour conseiller le gouvernement sur les moyens, notamment numériques, pouvant endiguer la propagation du coronavirus. A date, le Ministre de la santé en France se dit hostile au recours à de tels dispositifs de traçage numérique ou ne devrait-on pas dire de pistage.
Ce pistage des données mobiles en Europe n’est possible qu’avec le concours des opérateurs télécoms nationaux qui doivent les fournir sur demande expresse des autorités publiques compétentes. Une fois reçues, les données sont anonymisées et agrégées à des fins statistiques : toute identification individuelle, directe ou indirecte, des abonnés concernés par la collecte de ces données à caractère personnel serait alors impossible.
Ainsi, l’objectif est clair : suivre les déplacements des personnes et connaître les besoins d’aide médicale en fonction des lieux fréquentés, des interactions sociales et espérer repérer les personnes exposées au coronavirus.
Selon l’initiative européenne, un seul opérateur serait sélectionné par pays. Toutefois, Deutsche Telecom a déjà fourni à l’Etat fédéral allemand les données de près de 46 millions d’utilisateurs et Telecom Italia collecte depuis le 9 mars dernier les données de localisation de millions de ses clients en Lombardie.
• La conformité nécessaire aux exigences légales du RGPD
Néanmoins, ce projet européen devra s’inscrire dans un respect strict des règles du RGPD afin de protéger les données personnelles et la vie privée de ses citoyens. Même s’il ne s’agit pas de données sensibles devant faire l’objet de garanties légales particulières, les données relatives à des déplacements et à des mouvements géographiques relèvent incontestablement de la sphère privée et sont considérées comme des données à caractère personnel qui requièrent une particulière vigilance en raison de leur recoupement possible avec d’autres données. A défaut d’être anonymisées, le consentement préalable est requis pour toutes données de géolocalisation.
Sur ce point précis, la CNIL avait publié sur son site, le 6 mars dernier, que « (…) l’évaluation et la collecte des informations relatives aux symptômes du coronavirus et des informations sur les mouvements récents de certaines personnes relèvent de la responsabilité de ces autorités publiques ». Dès lors, une dérogation pourrait être décidée en accord avec la CNIL dans l’hypothèse où le gouvernement français opterait pour le « backtracking ». La direction d’Orange a ainsi indiqué qu’elle attendait l’aval de la CNIL pour coopérer avec l’Inserm selon lequel la modélisation des données de géolocalisation anonymisées serait utile pour gérer la propagation du virus.
Compte-tenu du volume considérable des données traitées par les opérateurs télécoms concernant des millions de clients, la Commission européenne, responsable de traitement, devra nécessairement veiller à une utilisation proportionnée de ces données ainsi qu’à une durée de conservation non excessive de la part de ces derniers.
• Quelles conséquences sur la vie privée des personnes ?
Les problématiques relatives à la protection des données personnelles ne revêtent pas les mêmes enjeux dans le monde.
En effet, grâce au croisement massif des données entre fournisseurs de réseaux et autorités sanitaires et au Big Data, Taïwan a géré la crise sanitaire en retraçant presque totalement la chaîne de contamination du virus sur son territoire. Une telle utilisation des signaux mobiles, sans anonymat, pour enregistrer l’historique des déplacements des personnes ne serait nullement acceptable en Europe.
La méthode retenue par Israël ne semble pas faire écho non plus à nos valeurs protectrices de la vie privée. En effet, en se basant sur des usages mettant en péril le respect des libertés fondamentales et la vie privée et équivalents à ceux mis en œuvre en matière d’anti-terrorisme, le service de renseignement intérieur peut retracer les parcours des personnes contaminées par le virus sans aucune autorisation préalable de la justice.
Ne parlons pas de l’option retenue par la Chine et la Russie qui ont recours massivement à la reconnaissance faciale pour traquer individuellement toutes les personnes qui ne respecteraient pas les mesures de confinement.
L’ensemble de ces pays ont pour culture et valeur assumées de faire prévaloir le collectif sur l’individu avec les dérives que l’on peut dénoncer par ailleurs.
Ainsi, ne doit-on pas craindre une mise en péril de nos libertés individuelles et de nos vies privées auxquelles nos sociétés occidentales sont attachées et à raison par l’enjeu d’impératif public que constitue la crise sanitaire du Covid-19 ? De toute évidence, les garde-fous mis en place dans nos démocraties européennes sont bel et bien défiés par les déploiements technologiques massifs de certains Etats. Il ne faudrait pas que cette pratique de « backtracking » soit en réalité envisagée, et pour finir peut-être adoptée en réalité déjà trop tardivement, tout simplement parce que les Etats européens n’avaient pas assez anticipé la crise sanitaire en constituant des stocks suffisants de masques, de gels hydroalcooliques ou de tests, notamment.
En attendant une éventuelle légalisation d’un « backtracking » européen respectueux de la vie privée, tâchons de faire preuve de clairvoyance et de vigilance quant au réel intérêt sanitaire qu’une telle mesure inédite et potentiellement dangereuse pourrait revêtir une fois la pandémie arrivée en Europe.
Corinne Thiérache, associée, et Alice Gautron, avocat.