COVID 19 et protection des données : quand les stratégies de déconfinement amènent à une inextricable situation

Bien qu'en vigueur depuis le 25 mai 2018, des pans entiers du Règlement Générale de la Protection des Données doivent encore être mis en application au sein de différents secteurs d'activité en France. Néanmoins, la situation actuelle liée au COVID 19 complique la finalisation de son application par de nombreux acteurs.

Les mesures exceptionnelles prises pour lutter contre le COVID 19 par les différents gouvernements contraignent la majorité des populations à limiter leurs déplacements au strict minimum. Dans certains pays, ce confinement est d’ores et déjà renforcé par le traçage numérique des déplacements des populations notamment en Corée du Sud, ou encore Singapour.

Des solutions de traçage sont actuellement en étude dans les pays européens dans lesquels s’applique le RGPD, et notamment en France où le gouvernement réfléchit à lancer une application de suivi de déplacements.

Mais cela est-il en conformité avec le Règlement Général de la Protection des Données européen ?

Le RGPD : une difficile mise en application

La CNIL a donné aux acteurs de la publicité française un nouveau délai dans l’application du volet du RGPD relatif au tracking sur le web. En effet, au vu de la situation et des répercussions économiques pour ces acteurs, la CNIL a repoussé à une date non définie la protection des internautes. Pour rappel, le RGPD exige qu'un internaute puisse facilement refuser tout pistage par un éditeur de site web.

Les publicitaires pourront donc continuer à traquer les internautes et à leur imposer des publicités ciblées pour potentiellement augmenter leurs ventes.

Octroyer aux publicitaires la possibilité de continuer de faire de la publicité ciblée, n’était-ce pas ouvrir la porte au gouvernement français pour tracer une population cible ou une population à risque vis-à-vis du COVID 19 ?

Traçage numérique vs RGPD

Le traçage numérique est le fait de pouvoir suivre le déplacement physique d’une personne. Ce traçage doit être a priori anonymisé.

Ici, le traçage numérique, même volontaire, envisagé par le gouvernement français, pose bien le problème de violation de la vie privée et donc de l’article 9 du RGPD. En effet, ce traçage dans le cadre de la lutte contre la pandémie, doit passer outre l’anonymisation afin d’identifier les personnes en contact avec celles infectées (ou l’étant potentiellement) par le virus.

Toutefois, selon le Comité Européen de la Protection des Données « le RGPD permet aux autorités sanitaires compétentes de traiter des données personnelles dans le contexte d’une épidémie ».

Les Gouvernements Européens sont donc en capacité de déployer des outils de traçage numérique des populations. Mais avec quelles conséquences ? Comment les données médicales des Français seront conservées ? Combien de temps ? Où ? Qui pourra y avoir accès ? Quand pourra-t-on les supprimer et/ou les rectifier ?

Et surtout, on peut se demander quelles seront les conséquences pour les personnes ayant été en contact avec des personnes malades ? 

Partenariat envisagé vs Privacy Shield

Selon Bloomberg, c’est la start-up californienne (et donc américaine !) Palantir qui serait pressentie pour accompagner la France dans le traçage numérique. La start-up, spécialiste du Big Data, a déjà signé un partenariat avec l’Angleterre.

Cependant, Palantir n’est pas référencée sur la liste des entreprises ayant accompli avec succès le processus d’auto-certification du Bouclier de Protection de Données (Privacy Shield).

Pour rappel, le Privacy Shield doit permettre, grâce à un mécanisme d’auto-certification reconnu par la Commission européenne comme offrant un niveau de protection adéquat aux données personnelles, aux entreprises établies aux USA de transférer des données de l’Union Européenne vers les Etats-Unis. Cependant, aujourd’hui, le Privacy Shield reste une forme du RGPD très primitive et pose donc la question de la réelle protection des données, transmises volontairement ou non.

Et même si Palantir était en conformité avec le Privacy Shield, sa technologie reste très opaque, notamment sur l’accès aux données par les organismes américains (pour rappel, le fonds d'investissement de la CIA, In-Q-Tel a investi deux millions de dollars dans la start-up) et rien ne garantit sa pérennité.

Pour finir, à l’heure du plébiscite d’une majorité de la population française de la RSE, nouer un partenariat avec une entreprise éthiquement défaillante serait ubuesque

Nous vivons à l’heure actuelle une situation exceptionnelle qui implique de prendre des décisions inédites. Le confinement demandé à l’ensemble des populations prendra bientôt fin avec la mise en place des mesures de déconfinement. Les gouvernements devront à ce moment-là choisir entre être en conformité avec le respect des données personnelles et le respect des libertés fondamentales des européens, ou entrer dans une spirale intrusive et insidieuse vis-à-vis de leur concitoyen allant ainsi à l’encontre des ambitions initiales du RGPD.

Les gouvernements européens vont-ils laisser ou non le choix à leur citoyen de garder la maîtrise de leurs données personnelles ? Et si oui comment ?

Face à la situation actuelle, peut-être serait-il judicieux de proposer une monétisation volontaire de la nouvelle valeur marchande du XXIème siècle : les données personnelles de chaque citoyen. Monétiser ses données personnelles est un choix propre à chacun et qui permettrait aux concitoyens, conscients et avertis, d’augmenter leur revenu pour face à cette nouvelle crise économique.