Application de contact tracing : « un choix individuel gage de responsabilité collective » encadré par le CEPD

Une fois passé l’acte I de l’absence d’état d’urgence pour les données personnelles, cet acte II sera immanquablement suivi d’un acte III au stade de la mise en œuvre opérationnelle complexe de cette innovation technologique. À l’instar de nombreux autres pays, la France mise désormais sur le déploiement massif d’une application mobile, au nom évocateur de StopCovid, pour combattre la pandémie et atténuer le risque d’une « seconde vague » à compter du 11 mai 2020, date prévisionnelle de fin du confinement strict de la population.

Au sein de l’Union européenne, selon la position du Comité européen de la protection des données (CEPD) du 14 avril 2020 (« EDPB Letter concerning the European Commission’s draft Guidance on apps supporting the fight against the Covid-19 pandemic »), le pari risqué de la confiance, illustré par une adhésion volontaire à ces applications mobiles, prend le pas sur celui de la force autoritaire retenue par d’autres pays, et la volonté de transparence prend le pas sur l’opacité, source de défiance. Ils permettent d’espérer une Union fédératrice de ses peuples autour de valeurs respectueuses des droits et libertés fondamentaux, facteurs de création et de dynamisme, à l’heure où cette pandémie cristallise les tensions géopolitiques entre la Chine et les USA et où les géants Apple et Google s’associent opportunément pour traiter des données de géolocalisation des smartphones.

Si, à ce stade, les modalités techniques et opérationnelles de StopCovid demeurent incertaines, un paramètre est jugé indispensable à la réussite d’un tel mécanisme, ainsi que l’a notamment souligné Marie-Laure Denis, présidente de la CNIL, lors de son audition devant la Commission des lois le 8 avril 2020 : « Il faut gagner la confiance de nos concitoyens pour qu’ils adoptent un tel dispositif de façon suffisamment massive pour en assurer l’efficacité sanitaire ».

L’intervention récente du CEPD, dans la droite lignée de cette position de la CNIL, met l’accent sur la protection des libertés grâce aux mécanismes classiques du RGPD tels que la transparence et préconise le volontariat des participants, gage de confiance individuelle et de responsabilité collective, se faisant ainsi l’écho du concept rousseauiste de contrat social fondé sur l’adhésion citoyenne aux contraintes du vivre-ensemble.

Dans ce contexte, Emmanuel Macron, lors de son allocution du 13 avril 2020, a annoncé s’agissant du développement en France de StopCovid la tenue d’un débat parlementaire, programmé les 28  et 29 avril prochains… mais ne donnant pas lieu à la tenue d’un vote final (StopCovid : le gouvernement mise sur un débat parlementaire pour dépassionner, Les Échos, 15 avr. 2020). De quoi alimenter une certaine méfiance à l’égard de l’application, que, pour le moment, seule une moitié des Français (51 %) seraient prêts à utiliser, selon un sondage Elabe du 15 avril 2020.

I. Une approche commune européenne salutaire

Dès le début du mois de mars, lorsque la question d’un traitement de données de santé et/ou de géolocalisation des citoyens a été évoquée afin de combattre la pandémie de covid-19, le CEPD a confirmé, le 19 mars, que le cadre réglementaire européen, en ce compris la directive ePrivacy de 2002 et le règlement général sur la protection des données 2016/679 (RGPD), offrait suffisamment de souplesse pour envisager, à certaines conditions, un tel traitement (v. à ce sujet Dalloz actualité, 30 mars 2020, art. A. Guérin-François ; ibid., 10 avr. 2020, art. D. Ventura).

La Commission européenne lui a rapidement emboîté le pas le 8 avril 2020, défendant un projet européen commun s’agissant de l’utilisation des technologies contre la pandémie (A), avant que le CEPD se prononce de nouveau le 14 avril, de manière plus exhaustive, sur les projets d’application mobile (B).

A. Un projet européen ambitieux sous l’égide de la Commission

Alors que le rôle pouvant être tenu par les technologies et les données personnelles dans la lutte contre la pandémie de covid-19 s’est progressivement affirmé dans le monde, la Commission européenne a dévoilé deux objectifs majeurs à cet égard dans sa recommandation du 8 avril 2020.

1. La première priorité consiste en une approche pan-européenne (projet PEPP-PT) pour l’utilisation d’applications mobiles, permettant notamment de retracer l’historique des relations sociales (contact tracing, à savoir l’enregistrement des smartphones repérés à proximité afin de signaler à leurs détenteurs s’ils ont été en contact rapproché avec un cas positif déclaré) pour prévenir une dissémination exponentielle du virus à l’heure du déconfinement ; l’application StopCovid se place sous le patronage de cette initiative européenne commune. Si les modalités précises de fonctionnement de ces procédés technologiques restent floues, la Commission insiste déjà sur la nécessité de soumettre tout projet d’application au respect du droit des données personnelles (détermination stricte des finalités du traitement, circonscription à la période pandémique, publicité du code source, etc.).

La Commission plaide également en faveur d’un dialogue constant entre les parties prenantes – l’efficacité de ces applications devant être étayée d’un point de vue technique et médical – et d’une vigilance renforcée pour en limiter la prolifération contre-productive.

2. La seconde priorité porte sur une optimisation de l’utilisation des données de géolocalisation anonymisées et agrégées, pour modéliser au mieux la diffusion du virus et anticiper la réponse, notamment sanitaire, des autorités publiques.

La Commission appelle ici de ses vœux une véritable coopération et un partage d’informations entre États membres, sur la base de données rendues accessibles par les opérateurs de téléphonie, qui ont su très tôt s’associer aux initiatives gouvernementales de scénarisation de mouvements de population.

Cette démarche révèle plus généralement l’émergence d’un véritable marché européen de la donnée, fondé sur la libre circulation des données non personnelles et dans la droite lignée du règlement européen 2018/2017 du 14 novembre 2018 qui leur est consacré ; une initiative qui ne peut qu’être saluée dans un contexte mondial de forte concurrence autour de la data.

B. L’approche du CEPD du 14 avril 2020 relative aux applications de contact tracing

En réponse à la prise de position de la Commission européenne, le CEPD s’est penché plus attentivement sur le projet PEPP-PT et ses déclinaisons technologiques, et a rappelé à fort juste titre que « la mise en œuvre des principes de protection des données personnelles et le respect des droits fondamentaux et des libertés constituent non seulement une obligation légale, mais également une condition pour renforcer l’effectivité des initiatives fondées sur l’exploitation de données pour lutter contre la propagation du coronavirus ».

Ce faisant, le CEPD reconnaît au droit des données personnelles, et plus particulièrement au RGPD, une place centrale dans le déploiement des applications mobiles de contact tracing, ce dans le but de garantir un socle de transparence indispensable pour nourrir la confiance collective.

Le CEPD reconnaît certes qu’une solution unique (one-size-fits-all) n’est pas envisageable et que son évaluation des procédés mis en œuvre, encore en cours de développement, se fera au cas par cas. S’agissant de StopCovid, des tests de faisabilité technique, notamment quant à l’usage de la technologie Bluetooth, sont actuellement mis en œuvre et il serait bien difficile de mesurer dès à présent l’efficacité d’une telle application, laquelle dépend par ailleurs très largement de la proportion dans laquelle elle est adoptée par la population.

Sans ignorer qu’il peut pour le moment « se focaliser uniquement sur l’objectif général des applications envisagées », le CEPD pose néanmoins des bases pertinentes en matière de protection des données, comme autant de balises à l’égard desquelles les pouvoirs publics devront faire preuve de vigilance.

Pour commencer, le CEPD soutient entièrement la proposition de la Commission de faire reposer l’utilisation de l’application sur la base du seul volontariat, ce qui implique la possibilité pour tout individu de l’installer et de la désinstaller à sa guise, sans pour autant craindre des répercussions négatives en cas de refus d’adhésion.

Le recours à la notion de consentement au traitement de ses données personnelles par la personne concernée (à dissocier ici du téléchargement volontaire de l’application) est subtilement écarté, tant il est certain que le caractère notamment libre de celui-ci serait difficile à caractériser dans un contexte anxiogène de pandémie mondiale. Conscient que les qualités du consentement ne sauraient être satisfaites en l’espèce, le CEPD privilégie comme base légale l’« exécution d’une mission d’intérêt public » (RGPD, art. 6.1.e), voire le « respect d’une obligation légale à laquelle le responsable de traitement est soumis » (RGPD, art. 6.1.c).

Le CEPD adopte en outre une position rigoureuse s’agissant des données de géolocalisation soumises à la directive ePrivacy, dont la collecte et le traitement seraient contraires au principe de minimisation des données prévu à l’article 5 du RGPD, le but de l’application mobile n’étant ni de suivre le mouvement des individus ni de s’assurer du bon respect de mesures de confinement (ce faisant, le CEPD restreint les fonctionnalités de ces outils aux seuls contact tracing et fourniture de conseils personnalisés).

Enfin, conformément aux prescriptions du RGPD, le CEPD rappelle, entre autres, la nécessité de :

• fonder le traitement sur le terrain de l’intérêt public dans le domaine de la santé publique ;

• documenter l’application au titre de l’étude d’impact à établir ;

• respecter les principes de privacy by design et by default lors du développement de l’application, en préconisant l’absence d’enregistrement de données identifiantes sur le smartphone et, le cas échéant, leur suppression dans les meilleurs délais ;

• cesser tout traitement de données personnelles immédiatement à l’issue de la crise ;

• procéder à la suppression ou à l’anonymisation de toutes les données collectées ;

• et rendre accessible le code source de l’application, dans un souci de transparence.

II. Les contours progressifs de l’initiative française StopCovid

Après d’importantes résistances politiques liées à la forte suspicion des Français à l’égard de tout procédé susceptible d’entraver leurs libertés individuelles, le recours à une application de contact tracing s’est progressivement imposé pour être finalement entériné par Emmanuel Macron lui-même lors de son discours du 13 avril 2020.

Le déploiement de cette application, prévu à compter du 11 mai en parallèle du déconfinement progressif de la population, sera précédé d’un débat parlementaire tenu les 28 et 29 avril, lequel ne serait néanmoins pas suivi du vote d’une loi.

Cette annonce a poussé certains responsables politiques, de la majorité comme de l’opposition, à s’interroger sur la finalité de convoquer les deux assemblées dans ce cadre, et s’inscrit à rebours de la position de la présidente de la CNIL, qui appelait, en la matière, à défaut de réel consentement des individus, à des dispositions législatives comportant d’importantes garanties.

Ainsi, se pose la question de l’instrument juridique permettant d’encadrer ce traitement, comprenant certaines données de santé dont le traitement, à défaut de consentement obtenu auprès de l’individu, suppose d’être fondé sur le droit de l’État membre qui doit prévoir des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel (RGPD, art. 9.2.i).

Des précisions sur ce fondement juridique devront être apportées dans les prochains jours ; autant de possibilités offertes aux autorités de rassurer les citoyens quant à l’utilisation de son application mobile, afin de garantir un nombre maximal de téléchargements lors de son lancement.

Quoi qu’il en soit, les interventions récentes, aussi bien de la Commission européenne que du CEPD, sonnent comme une injonction aux autorités publiques non seulement de se conformer au droit de la protection des données personnelles dans leur utilisation des technologies contre le coronavirus, mais de l’utiliser comme un vecteur essentiel de transparence à l’égard de la population et de confiance de la population à leur égard.