5G et données personnelles : quels enjeux juridiques ?

La réglementation sur les données personnelles s'applique à la 5G. Si les enjeux restent identiques à ceux ouverts pour la 4G, ils sont encore plus prégnants et vitaux dans la mesure où la 5G brassera une quantité massive de données personnelles dans un contexte d'enjeu de souveraineté numérique européenne.

Les enchères pour remporter les fréquences qui permettront de lancer les premiers forfaits 5G en France viennent officiellement de s’achever. La technologie 5G, dite 5ème génération de réseaux mobiles succédera ainsi aux technologies 2G, 3G et 4G. A l’heure de la virtualisation grandissante de nos échanges, propulsée par la pandémie mondiale, la 5G est clairement devenue incontournable.

Sur l’aspect strictement technologique, la 5G améliorera considérablement les services existants (meilleur débit et plus de capacité de manière à absorber un fort trafic) et favorisera le développement de nouveaux services innovants (dans le domaine de la santé, la télémédecine ; dans le domaine des transports, le véhicule autonome, le pilotage à distance de véhicules...). Evolutive, elle s’enrichira au gré des nouvelles normes de standard internationales. En somme, la 5G va servir à nous connecter à tout ce qui ne l’est pas actuellement, en particulier les objets.

Ces échanges massifs de données, loués pour être sans engorgement des réseaux, embarqueront forcément de la donnée personnelle, donnée qui identifie directement ou indirectement les personnes utilisatrices de la technologie.

La réglementation sur les données personnelles (le fameux RGPD qu’on ne présente plus ou encore la directive ePrivacy - un peu moins connue) s’étend dès lors bien évidement à la 5G. Si les enjeux restent identiques à ceux ouverts pour la 4G, ils sont sûrement encore plus prégnants et vitaux dans la mesure où la 5G brassera une quantité massive de données personnelles dans un contexte d’enjeu de souveraineté numérique européenne.

Quels sont ces principes applicables ? Quels risques la 5G va t-elle accentuer ? 

Dans le cadre des traitements des données personnelles, l’obligation d’information claire et explicite des utilisateurs reste bien évidemment de mise. En fonction des bases légales du traitement, le consentement sera très souvent la règle pour les applications d’objets connectés voire en télémédecine au vu du caractère sensible que revêt la donnée de santé. Les fournisseurs d’applications devront s’assurer comme aujourd’hui que ce consentement a été donné de façon claire et précise et conserver les preuves de ce consentement en cas de contrôle.

Alors même que la Cour de Justice de l’Union européenne vient de réaffirmer son opposition de principe à la surveillance de masse et notamment à la collecte et à la conservation des données de connexion de façon massive et indifférenciée par les Etats membres, les principes de transparence et de minimisation des données couplés aux  règles du privacy by design et by default devront nécessairement être pris en compte dans le déploiement de la 5G.  Sans oublier que tout transfert de données hors UE devra assurer les garanties de sécurité adéquates dans le pays d’accueil. Et c’est déjà là que le bât blesse aujourd’hui lorsque l’on sait que les juges européens ont à nouveau annulé le Privacy Shield (l’accord autorisant sous conditions les transferts de données personnelles entre l’Europe et les Etats-Unis) et que la « CNIL » irlandaise vient d’enjoindre Facebook de cesser le transfert de données personnelles de ses abonnés européens vers les Etats-Unis. Le bras de fer ne fait que commencer...

Enfin, la 5G entrainera vraisemblablement une utilisation accrue du cloud (en terme de stockage des données) et des technologies de virtualisation. Le déficit de sécurité est déjà réel. En dessinant un monde d’objets connectés, la 5G ouvre potentiellement autant de failles de sécurité. Si la 5G est censée apporter une fiabilité accrue des réseaux, les appareils dits "intelligents" ou autres appareils plus anciens n’apportent pas cette même fiabilité et vont constituer une multiplication des points d’entrée potentiels. En outre, qui dit nouvelles technologies dit bien souvent nouvelles vulnérabilités. Goût du défi, potentiel de gain, souveraineté numérique, les hackers qui s’en donnent déjà à cœur joie pour déstabiliser nos entreprises et nos collectivités territoriales vont à n’en pas douter se mettre à l’œuvre pour lancer de nouvelle attaques ou en tout cas les accélérer. Des possibilités de minimiser ce risque via notamment le tri par intelligence artificielle embarqué, la pseudonymisation ou chiffrement systématique sur le cloud existent et sont à l’étude.

La 5G c’est aussi et surtout une infrastructure stratégique pouvant affecter les intérêts de la défense et de la sécurité nationale. L’enjeu de souveraineté numérique mis en lumière par la pandémie ressurgit encore ici plus fortement : l’un des grands acteurs de la 5G, l’équipementier chinois Huawei est déjà montré du doigt voire mis sur le banc de touche ; des solutions de stockage sur le sol européen (cloud européen) pourraient voir le jour.   

Les ardents défenseurs de la souveraineté affirment que l’Europe doit développer une 5G à l’européenne et ce, en cohérence avec son modèle de gouvernance de la donnée tel que « moulé » par le RGPD et défendu par la Cour de Justice de l’UE à plusieurs reprises déjà.  Mais là encore, cet enjeu de souveraineté numérique pourrait entrer en conflit avec nos règles de droit européen et notamment de concurrence. Quand on trace un chemin vers l’indépendance et une culture de la donnée personnelle, des choix douloureux ou courageux (selon la perspective qu’on lui applique) mais nécessaires sont à faire tant sur ses principes fondateurs que sur sa vision d’un autre « Monde » ; celui « d’Après », n’est-ce pas ?!