Pour combattre le Covid- 19, l’Etat peut-il mettre en place un système de traçage à grande échelle des individus, comme dans certains pays asiatiques ?

Dans le contexte actuel de pandémie lié au Covid-19, il est de plus en plus question d’instaurer un système de traçage numérique des déplacements des individus afin de lutter contre la propagation du virus. Ces applications – qui ont semble-t-il prouvé leur efficacité dans certains pays asiatiques – ne manquent toutefois pas de susciter des inquiétudes au sein de la population européenne qui redoute à juste titre une atteinte, potentiellement irréversible, à son droit fondamental à la vie privée.

1. La situation des pays européens par rapport aux pays asiatiques

Contrairement à d’autres parties du monde, les pays européens sont connus pour leurs législations très protectrices de la vie privée (RGPD, Directive e-privacy,…). Ces législations rendent beaucoup plus compliquée la mise en place d’un système de traçage numérique similaire par exemple au système chinois qui semble beaucoup plus invasif sur le plan de la vie privée. Un scénario à la chinoise est donc peu probable en Europe.

Il n’est toutefois pas exclu que des mesures exceptionnelles via des arrêtés de pouvoirs spéciaux soient adoptées pour obliger les individus à utiliser une application de traçage à chaque fois qu’ils veulent sortir de chez eux. Néanmoins, vu le caractère hautement sensible de la question, des mesures aussi radicales sont encore loin de voir le jour et ne font certainement pas l’unanimité.

2. Que dit le droit ?

En fonction du type de données utilisées pour effectuer le traçage des individus, des législations différentes seront applicables : la Directive e-privacy ou le RGPD.

a. La Directive e-privacy

Si des données de géolocalisation obtenues grâce aux téléphones mobiles sont utilisées sur les applications de traçage, c’est la Directive 2002/58/CE (dite « e-privacy ») – relative au secteur des communications électroniques – qui sera applicable.

L’article 9.1 de la Directive interdit le traitement des données de localisation, à moins que ces données n’aient été anonymisées ou que les personnes concernées aient donné leur consentement au traitement de telles données.

La Directive accorde toutefois la possibilité aux Etats de prendre des mesures visant à limiter cette règle aux fins de sauvegarder la sécurité publique, pour autant que ces mesures soient nécessaires, appropriées, proportionnées et limitées à la période d’urgence (article 15.1).

b. Le Règlement Général sur la Protection des Données (RGPD)

Si, par contre, l’application utilise des données ne rentrant pas dans le champ d’application de la Directive précitée (considérant 173 du RGPD), comme par exemple les données de santé, c’est le RGPD qui s’appliquera.

En principe, le  RGPD interdit le traitement des données liées à la santé des individus (article 9.1 RGPD). Cette règle souffre cependant plusieurs exceptions, notamment lorsque « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé (…) » (article 9.2. i) RGPD). Le consentement des individus n’est dans ce cas pas requis (considérant 54 du RGPD).

Un tel traitement doit toutefois faire l’objet de mesures appropriées et spécifiques afin de protéger les droits et libertés des personnes concernées par ledit traitement. Cette exception ne dispense pas non plus le responsable de traitement de respecter les grands principes consacrés par le RGPD (principe de licéité, transparence, loyauté, limitation des finalités de traitement, minimisation des données, exactitude, limitation de la conservation, intégrité et exactitude).

Contrairement à l’exemple chinois, les applications de traçage « européennes » devront donc en principe être soumises à certaines règles ayant pour but de protéger les droits et libertés des individus.

3. En pratique, quelles mesures appropriées et adéquates pourraient être mises en œuvre pour respecter les règles générales de protection des données contenues dans le RGPD ainsi que la Directive e-privacy ?

Certaines idées ont déjà été avancées et visent à apporter des garanties face à ces nouvelles applications. La Commission européenne n’a d’ailleurs pas manqué de se pencher sur la question et travaille aujourd’hui à la création d’une application de traçage – respectueuse des législations sur la vie privée – qui servirait de modèle de référence en Europe. C’est en tout cas ce que promet Thierry BRETON, le Commissaire européen au Marché intérieur. En Belgique, un groupe de travail fédéral « Data Against Corona » étudie également la question et prône, à l’instar de la Commission européenne, le respect des législations vie privée.

a. L’anonymisation des données

La première mesure pouvant être mise en œuvre consiste à assurer l’anonymisation des données reçues sur ces applications de traçage. Les règles en matière de protection des données ne s’appliquent en effet qu’aux données permettant d’identifier directement (nom, prénom, adresse, numéro de téléphone,…) ou indirectement (identification de l’appareil,…) une personne, tel que le prévoit l’article 4.1 du RGPD.

En conséquence, si aucune donnée d’identification directe ou indirecte de l’utilisateur n’est requise sur l’application, il n’existe aucun traitement susceptible d’entrer dans le champ d’application du RGPD. Par ailleurs, comme mentionné précédemment, l’utilisation de données liées à la localisation des individus est permise lorsque de telles données ont été anonymisées (article 15.1 Directive e-privacy).

b. Le consentement libre et éclairé de l’utilisateur

Une autre mesure envisageable et largement discutée au niveau européen consiste à proposer ces applications de traçage sur une base volontaire. Cela signifie, en d’autres termes, que seules les données personnelles des individus inscrits librement et volontairement sur l’application seront traitées et utilisées, à condition bien sûr de respecter les règles relatives au consentement prévues dans le RGPD (qui doit notamment être libre et éclairé).

Si cette mesure a le mérite de laisser aux citoyens leur libre arbitre et la gestion de leurs propres données, certaines critiques peuvent être formulées. En effet, si l’application n’est pas généralisée et acceptée par une majorité de la population, les résultats ne seront pas pertinents et l’application perdra toute utilité.

Malgré ces critiques, la Commission européenne semble toutefois vouloir aller dans cette direction et a déjà insisté à plusieurs reprises sur la dimension volontaire de l’utilisation de ces technologies.

c. La minimisation des données

En tout état de cause, les données récoltées et traitées dans le cadre de ces applications de traçage devront respecter le principe de minimisation des données, consacré à l’article 5.1.c du RGPD qui consiste à utiliser uniquement les données nécessaires à la finalité du traitement.

À cet égard, il semble exister un consensus entre les experts sur l’utilisation du Bluetooth. Présente dans tous les appareils mobiles, cette technologie a l’avantage de n’utiliser aucune donnée de localisation jugée trop sensible. Les ondes émises par le Bluetooth serviraient uniquement à mesurer la distance entre les personnes et permettraient, via des codes anonymes stockés durant 2 semaines sur l’application, de savoir si une personne est passée à proximité d’une autre personne porteuse du virus. Une application utilisant au contraire des données de géolocalisation de type GPS pourrait donc ne pas être en règle avec le principe de minimisation des données puisqu’un moyen plus protecteur de la vie privée permettrait d’aboutir au même résultat. Une telle application serait également contraire à l’article 9.1 de la Directive e-privacy si le consentement des utilisateurs n’était pas sollicité ou si les données de localisation n’étaient pas anonymisées (voir supra – point 2.b).

La Commission européenne a du reste expressément recommandé de ne pas utiliser les données GPS puisqu’elle considère que celles-ci ne sont pas nécessaires à la finalité recherchée.

d. Limitation de la conservation et stockage sur les appareils individuels

Enfin, la Commission européenne recommande que les données soient stockées sur les appareils mobiles individuels (et non dans des bases de données centralisées) et que les données ne soient pas stockées plus longtemps que nécessaire (article 5.1.e du RGPD). La destruction des données serait donc requise dès la fin de la pandémie afin de protéger au maximum les libertés de tout un chacun.