A la une
Numérique

Crise sanitaire : que faut-il retenir de l'audition de la présidente de la CNIL à propos du recours au traçage numérique ?

14/04/2020
Auditionnée le 8 avril par la commission des lois de l'Assemblée nationale, Marie-Laure Denis, présidente de la CNIL, s'est prononcée sur le recours au traçage numérique qu'envisage de mettre en place le gouvernement, comme l'une des issues à la crise sanitaire actuelle. Si cette solution était retenue, la présidente a toutefois souligné qu'elle ne serait qu'un des éléments d'une réponse sanitaire plus globale.

La Présidente de la CNIL a été auditionnée par la commission des lois de l'Assemblée nationale au sujet du recours à des outils de localisation des personnes, actuellement au centre du débat public, dont l'objectif serait la protection de la santé publique, en cette période de crise sanitaire. Premier constat : les textes relatifs à la protection des données personnelles ne s'opposent pas à la mise en place d'outils de suivi numérique, afin de protéger la santé publique, à condition bien entendu de prévoir des garanties d'autant plus fortes que la technologie est intrusive.

Deuxième point soulevé par la présidente de la Commission : le recours aux technologies numériques n'est pas sans limite ni sans risque, et ne pourrait en tout état de cause assurer une sortie de la crise sanitaire.

Quid de l'utilisation des données de localisation dans les autres pays ?

Marie-Laure Denis constate qu'ailleurs dans le monde, les données de localisation sont essentiellement utilisées pour trois finalités :

  • cartographier la propagation du virus ;

  • faire respecter les mesures prises par les gouvernements pour endiguer la propagation du virus (par exemple, distanciation sociale, confinement) ;

  • faire du suivi de contact (contact tracking) pour retrouver les contacts de personnes potentiellement exposées.

Deux tendances sont observées pour le recueil de ces données : la localisation individuelle, comme au Moyen-Orient ou en Asie (installation d'une application sur le téléphone par exemple), ou bien le recours aux données de localisation agrégées, comme c'est le cas en Italie, en Autriche et en Allemagne où des opérateurs de télécommunications ont fourni des données anonymisées pour surveiller les déplacements des personnes et le respect des règles de confinement.

Marie-Laure Denis rappelle qu'en France, Orange a partagé des données de localisation anonymisées avec plusieurs partenaires, dont l'INSERM, afin de « permettre aux épidémiologistes de modéliser la propagation de la maladie ».

Les recommandations de la CNIL au regard des exigences du RGPD

La présidente de la CNIL rappelle que le RGPD s'applique aux données de localisation si elles ne sont pas traitées de manière anonymisée.

Le texte exige :

  • de faire reposer son traitement de données personnelles sur une base légale (art. 6) ;

  • à propos de la collecte des données de santé, en principe interdite, qu'elle repose sur l'une des exceptions prévues par le RGPD (art. 9) et la loi Informatique et libertés ;

  • l'application de garanties que les États doivent respecter : proportionnalité, sécurité notamment, pour « maximiser la maîtrise des personnes sur leurs données ».

Au regard du cadre juridique posé par la directive ePrivacy et par le RGPD, Marie-Laure Denis dresse une liste des principes qu'un traitement de données de localisation devrait en tout état de cause respecter :

  • les finalités du traitement doivent être définies et limitées ;

  • le recours à ce type de traitement doit être « adéquat, nécessaire et proportionné » (la CNIL souligne à cet égard que le recours à des données anonymisées doit d'abord être privilégié par les autorités publiques) ;

  • le traitement doit être temporaire pour démontrer son caractère proportionné et respecter le principe de limitation de la durée de conservation des données ;

  • le traitement doit respecter le principe de minimisation des données ;

  • enfin, le dispositif de localisation doit être transparent et assurer la sécurité des données.

La réponse de la CNIL face aux solutions envisagées

La CNIL attire l'attention sur les points suivants :

  • si un suivi individualisé des personnes était mis en oeuvre, il devrait l'être sur la base du volontariat, avec un recueil du consentement des personnes « réellement libre et éclairé », leur refus n'entraînant par ailleurs aucune conséquence ;

  • si un dispositif de suivi des personnes était mis en place de manière obligatoire, il devrait se fonder sur une disposition législative et démontrer sa nécessité pour répondre à la crise sanitaire mais aussi sa proportionnalité (protection de la vie privée et caractère provisoire de la mesure).

En conclusion, Mme Denis énonce qu' « à droit constant, en ayant recours aux instruments juridiques existants, un dispositif numérique de suivi et individualisé des personnes peut être mis en place - en étant qu'un des éléments d'une réponse sanitaire plus globale -, à condition qu'il soit nécessaire et proportionné, et assorti de garanties particulièrement fortes pour protéger les données de ses utilisateurs ».

Amélie Renard
Ecrit par
Amélie Renard
Mots-clés