Comment utiliser les données de géolocalisation des opérateurs télécoms dans la lutte contre le Covid-19 ?
Le backtracking doit être analysé au regard de certaines règles, comme celles issues du RGPD et de la Loi Informatique et Libertés, ou encore de la directive e-Privacy.
A l'heure où des initiatives sont lancées en France et en Europe pour utiliser les données anonymes collectées par les opérateurs de communications électroniques dans la lutte contre le Covid-19, et où le gouvernement étudie la possibilité de lancer une application mobile, se pose la question du "backtracking" ou "contact tracing". Cette technique, qui a notamment été utilisée sous diverses formes en Corée du Sud, ou encore en Israël a pour objet de tracer les déplacements des abonnés via leur téléphone, afin de déterminer les parcours des personnes contaminées, et identifier les individus avec lesquels ces dernières ont pu être en contact. Le backtracking doit être analysé au regard de certaines règles, comme celles issues du RGPD[1] et de la Loi Informatique et Libertés[2], ou encore de la directive e-Privacy[3].
Quelles règles dans le RGPD et la Loi Informatique et Libertés ?
Lorsque les utilisations envisagées sont fondées sur des données entièrement anonymes ou anonymisées (i.e. aucune ré-identification possible), le RGPD n'est pas applicable.
Toutefois, dans le cadre du "backtracking", il s'agit de pouvoir identifier des personnes contaminées, et de pouvoir suivre leurs interactions avec d'autres individus, par le biais des données de géolocalisation de leurs téléphones. Il ne s'agit donc plus de données anonymes, et dans ce cas le RGPD est bien applicable.
Au-delà des principes généraux mentionnés aux articles 5 et 6 du RGPD, notamment relatifs à la loyauté du traitement, à sa proportionnalité, ou encore à l'existence d'une base légale, la difficulté résulte du fait que la donnée collectée et traitée est une donnée de santé : la contamination avérée ou le risque de contamination d'une personne par le COVID-19.
En effet, l'article 9 du RGPD prévoit par principe l'interdiction de traiter des données sensibles, parmi lesquelles les données de santé, sauf si une exception s'applique. L'une de ces exceptions est l'obtention du consentement libre, spécifique, éclairé et univoque de la personne concernée. Les autres exceptions potentiellement applicables sont la nécessité du traitement pour des motifs d'intérêts publics importants[4] (article 9.2.g du RGPD), ou la nécessité du traitement pour des motifs d'intérêt public dans le domaine de la santé publique (article 9.2.i du RGPD).
La Loi Informatique et Libertés, dans sa version modifiée par l'Ordonnance n°2018-1125 du 12 décembre 2018, et sauf pour le cas où un consentement a été obtenu, ajoute des règles applicables spécifiquement aux traitements de données personnelles dans le domaine de la santé.
La Loi Informatique et Libertés requiert ainsi soit une autorisation du traitement par la CNIL, dans les conditions de son article 66, soit la seule réalisation d'une analyse d'impact, pour les cas couverts par son article 67, c’est-à-dire "les traitements de données à caractère personnel dans le domaine de la santé mis en œuvre par les organismes ou les services chargés d'une mission de service public figurant sur une liste fixée par arrêté des ministres chargés de la santé et de la sécurité sociale, pris après avis de la Commission nationale de l'informatique et des libertés, ayant pour seule finalité de répondre, en cas de situation d'urgence, à une alerte sanitaire et d'en gérer les suites, au sens de la section 1 du chapitre III du titre Ier du livre IV de la première partie du code de la santé publique".
A cet égard, Santé Publique France et les Agences régionales de santé (ARS), avec l'appui du Centre National de Référence des virus respiratoires (CNR) ont publié un document d'information[5] sur leurs traitements de suivi des personnes contaminées par le Covid-19, et des individus avec lesquels elles ont été en contact (par collecte auprès des personnes concernées, des soignants et des autorités publiques), qui se basent sur la réponse à une alerte sanitaire (article 67 de la Loi Informatique et Libertés).
Ainsi, au regard du RGPD et de la Loi Informatique et Libertés, les personnes publiques mentionnées à l'article 67 de cette loi peuvent mettre en place des traitements de suivi individualisé de la pandémie sous réserve de la seule réalisation d'une analyse d'impact, là où les personnes privées ou d'autres personnes publiques devraient obtenir le consentement des personnes concernées, ou une autorisation de la CNIL.
Il faut néanmoins garder à l'esprit que dans tous les cas, une information préalable des personnes concernées devra leur être fournie.
Quid des règles de la directive e-Privacy ?
Indépendamment du RGPD, les règles de la directive e-Privacy doivent aussi être respectées dans la mesure où les données que l'on souhaite collecter sont des données de géolocalisation par téléphone.
En particulier, l'article L.34-1.V. du Code des Postes et des Communications Electroniques, qui transpose l'article 9 de cette directive e-Privacy, prévoit qu'un consentement est nécessaire pour tout traitement de données permettant de localiser l'équipement terminal d'un utilisateur à des fins autres que celles relatives à l'acheminement d'une communication.
Ainsi, les données de géolocalisation des abonnés ne peuvent pas être collectées à leur insu, et leur consentement doit être recueilli de manière explicite.
Toutefois, pour les besoins du backtracking, le Comité Européen de la Protection des Données (CEPD), dans son communiqué du 19 mars 2020[6], rappelle les termes de l'article 15 de la directive e-Privacy, qui permet aux Etats membres de légiférer afin de restreindre les droits des individus, notamment en matière de consentement, afin de sauvegarder la sécurité publique. Cet article 15 trouve son pendant dans l'article 23 de la dernière version du texte du projet de règlement e-Privacy, en date du 6 mars 2020.
Le CEPD rappelle également que des garanties adéquates devraient être mises en œuvre, et notamment de permettre aux personnes concernés de disposer de recours juridictionnels, et que le principe de proportionnalité devrait toujours s'appliquer, afin de privilégier les scénarios les moins intrusifs pour les droits des personnes.
A ce jour, nous n'avons pas connaissance de projet de loi au titre de l'article 15 de la directive e-Privacy.
En conclusion
Le backtracking utilisant les données de géolocalisation du téléphone ne peut aujourd'hui être mis en œuvre qu'avec le consentement des personnes concernées. Ce recueil pose de nombreuses difficultés pratiques, et c'est probablement la raison pour laquelle les principales initiatives en matière de suivi de la pandémie en fonction des contacts avec des personnes contaminées reposent sur des applications téléchargées volontairement par les individus.
Chronique de Thierry Dor & Aurélie Pacaud (Cabinet Gide Loyrette Nouel)
[1] Règlement (UE) 2016/679 du Parlement Européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE
[2] Loi n°78-17 du 6 janvier 1978 relatif à l'informatique, aux fichiers et aux libertés, telle que modifiée
[3] Directive 2002/58/CE du Parlement Européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
[4] Le considérant 46 du RGPD mentionne notamment le suivi des épidémies et leur propagation.