Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

Coronavirus : dernières recommandations de la Commission européenne et du CEPD

Les applications mobiles de suivi des contacts sont un des moyens envisagés pour sortir du confinement. Les orientions de la Commission européenne, du 16 avril, et les lignes directrices du CEPD, du 21 avril, précisent les conditions à respecter pour que ces dispositifs soient conformes au droit de l’Union en matière de protection des données et de la vie privée.

par Nathalie Maximinle 28 avril 2020

Les applications mobiles ont un rôle important à jouer dans la lutte contre le covid-19, l’Europe en est persuadée et a opté pour une approche coordonnée de ces technologies. Le 19 mars, le Comité européen de la protection des données (CEPD) rappelait que le règlement (UE) 2016/679 du 27 avril 2016 (RGPD) et la directive 2002/58/CE du 12 juillet 2002 (« ePrivacy ») autorisaient, à certaines conditions, des mesures de suivi numérique (v. Dalloz actualité, 30 mars 2020, obs. A. Guérin-François ; ibid. 10 avr. 2020, obs. D. Ventura). Le 8 avril, une recommandation de la Commission européenne définissait le processus d’élaboration d’une boîte à outils commune dédiée à l’utilisation d’applications mobiles de traçage des contacts et d’alerte (JOUE L 114 du 14 avr. 2020). Dans une lettre du 14 avril, le CEPD approuvait cette prise de position et abordait spécifiquement l’usage des dispositifs de « contact tracing », à l’image de StopCovid développé par la France (V. Dalloz actualité, 21 avr. 2020, obs. I. Gavanon et V. Le Marec ; ibid. 9 avr. 2020, art. P. Januel).

C’est dans ce contexte que la Commission a mis à disposition la première version de sa boîte à outils. Elle est accompagnée d’orientations publiées au Journal officiel de l’Union européenne du 17 avril (JOUE C 124 I). En complément le CEPD a adopté le 21 avril deux séries de lignes directrices portant respectivement sur le traitement des données de santé à des fins de recherche dans le contexte du covid-19 et sur la géolocalisation et les autres outils de traçage.

La boîte à outils

La première version de la boîte à outils présente, en 44 pages, les paramètres pertinents pour permettre un développement, une utilisation coordonnée et le suivi des performances des applications de traçage des contacts (« contact tracing »). Elle fournit une liste détaillée des exigences essentielles, notamment techniques, qui doivent être prises en compte pour élaborer l’application (V. Légipresse n° 381 du 17 avr. 2020). Ces dernières ont été identifiées par les autorités des États membres intéressés par le lancement d’un tel projet. Il s’agit donc une approche paneuropéenne. StopCovid s’inscrit dans ce cadre.

Une première évaluation sera effectuée, d’ici le 30 avril 2020, par les autorités de santé publique. Les États membres devraient également rendre compte des mesures qu’ils ont prises au plus tard le 31 mai. Enfin, la Commission évaluera les progrès accomplis et publiera des rapports périodiques à partir de juin et tout au long de la crise. Elle pourra recommander l’adoption de mesures ou la suppression progressive de celles qui ne semblent plus nécessaires.

Parmi les contraintes à respecter figurent le respect des règles de l’Union en matière de protection des données et de la vie privée conformément aux orientations de la Commission.

Les orientations de la Commission

Elles « visent à offrir le cadre nécessaire pour garantir que, lorsqu’ils utilisent ces applications, les citoyens bénéficient d’une protection suffisante de leurs données à caractère personnel et d’une limitation de leur caractère intrusif ».

Elles concernent uniquement les applications téléchargées, installées et utilisées volontairement, qui présentent au moins une des fonctionnalités suivantes :

  • fournir des informations exactes aux personnes sur la pandémie de covid-19 ;
  • fournir des questionnaires d’auto-évaluation et des conseils aux personnes (fonctionnalité d’analyse des symptômes) ;
  • avertir les personnes qui se sont trouvées à proximité d’une personne infectée pour leur fournir des informations sur un autoconfinement éventuel et sur les centres de dépistage (fonctionnalité de recherche de contact et d’avertissement) ;
  • prévoir un espace de communication entre les patients soumis à l’auto-isolement et les médecins ou permettant un diagnostic plus poussé et des conseils de traitement (télémédecine).

Le champ d’application ainsi définit, la Commission détaille les conditions préalables à respecter.

Le responsable du traitement doit être clairement identifié. Les autorités sanitaires nationales peuvent assumer cette fonction. Cela contribuerait à renforcer la confiance et l’acceptation du dispositif par la population. Cependant comme le souligne le CEPD dans ses lignes directrices 4/2020, d’autres responsables peuvent être désignés.

Les utilisateurs doivent conserver le contrôle de leurs données aux conditions suivantes : une installation volontaire, une acceptation distincte pour chaque fonctionnalité, un stockage des données de proximité sur l’appareil de la personne concernée, un partage avec l’autorité sanitaire limité aux cas de contamination confirmés et après obtention du consentement, une information conforme au RGPD (art. 12 et 13) et à la directive ePrivacy (art. 5), la garantie pour les personnes concernées d’exercer leurs droits, et enfin, une désactivation de l’application une fois la pandémie maîtrisée qui ne dépend pas d’une désinstallation par l’utilisateur.

La base juridique du traitement la plus appropriée pour le stockage des informations sur l’appareil ou l’accès aux informations déjà stockées est, pour la Commission le consentement. Mais, la base légale du traitement pour les autorités sanitaires nationales peut être des législations existantes ou adoptées spécifiquement pour lutter contre la propagation d’épidémie « si elles prévoient des mesures permettant de surveiller les épidémies et si elles satisfont aux autres exigences énoncées à l’article 6, paragraphe 3 du RGPD ». Dans ces lignes directrices, le CEPD est plus réticent sur le recours au consentement. Il privilégie l’« exécution d’une mission d’intérêt public » (RGPD, art. 6.1 e) ; v.  LD 4/2020 du 21 avr. 2020, pt 29 s.).

Conformément au principe de minimisation, seules les données à caractère personnel adéquates, pertinentes et limitées à ce qui est nécessaire au regard de leur finalité peuvent être traitées, par exemple :

  • la fonctionnalité d’information ne permet pas le traitement de données relatives à la santé ;
  • la fonctionnalité d’analyse des symptômes ou la télémédecine ne permet pas l’accès à la liste des contacts ;
  • la fonctionnalité de recherche des contacts ne rend pas nécessaire la géolocalisation, le stockage de l’heure ou du lieu du contact.

La Commission rappelle également l’importance de prévoir une finalité précise pour chaque traitement. À titre d’illustration, indiquer « prévention de nouvelles infections par le covid-19 » n’est pas suffisamment spécifique pour décrire la finalité de recherche des contacts et d’avertissement. Plus généralement, la Commission déconseille d’utiliser les données collectées à d’autres fins que la lutte contre le virus. Il s’ensuit que des objectifs tels que la recherche scientifique ou la constitution de statistiques doivent figurer dans la liste d’origine des buts poursuivis.

Des limites strictes doivent être fixées pour la conservation des données. Le délai sera fixé selon la pertinence d’un point de vue médical et de la durée réaliste pour prendre les mesures administratives nécessaires. Ce qui correspondrait à :

  • un effacement immédiat des données utilisées pour installer une fonctionnalité d’information ;
  • un effacement au bout d’un mois (période d’incubation assortie d’une marge) maximum de celles collectées pour analyser des symptômes ou pour la télémédecine. Par exception, une conservation plus longue est possible pour la recherche ou l’établissement d’un rapport de surveillance, sous réserve d’anonymisation ;
  • un effacement dès que la conservation des données n’est plus nécessaire à l’alerte des personnes concernées pour les fonctionnalités de recherche des contacts et d’avertissement (au bout d’un mois ou après que la personne a été testée négativement).

La sécurité et l’exactitude des données doivent être garanties. Dans le premier cas, cela suppose leur stockage sur le terminal de l’utilisateur sous forme cryptée et dans un format pseudonomysé. Si le recours à un serveur central s’impose, l’accès doit être consigné. La Commission recommande également de publier le code source de l’application et de le rendre disponible pour examen. Dans le second cas, il est recommandé de recourir à une technologie permettant une évaluation précise du contact, comme le Bluetooth.

Enfin, les autorités de contrôle, la CNIL en France, doivent être associées dans le cadre du développement et du déploiement de l’application.

Les lignes directrices du CEPD

Le CEPD a été consulté avant l’élaboration des orientations de la Commission et ses remarques sont intégrées au document final. Mais, lors de sa 23e session plénière du 21 avril, le Comité a adopté deux séries de lignes directrices spécifiques. Pour tenir compte de l’urgence de la crise sanitaire, elles n’ont pas été soumises à consultation.

Les premières concernent les données de santé à des fins de recherche dans le contexte du covid-19 (LD 3/2020). Elles abordent en particulier les questions de la base juridique du traitement, le traitement ultérieur des données de santé à des fins de recherches scientifiques, l’exercice des droits des personnes concernées et les transferts internationaux.

Les secondes traitent des données de localisation collecter pour modéliser la propagation du virus afin d’évaluer l’efficacité globale des mesures de confinement et sur celles servant à tracer les contacts pour informer les personnes susceptibles d’avoir été à proximité d’une personne porteuse du virus (LD 4/2020). Le CEPD rappelle que les principes généraux d’efficacité, de nécessité et de proportionnalité doivent guider toutes les mesures adoptées par les États membres ou les institutions de l’Union. Il maintient également sa position exprimée dans sa lettre du 14 avril selon laquelle l’utilisation des applications permettant de tracer les contacts doit être volontaire et ne doit pas reposer sur le suivi des mouvements individuels, mais plutôt sur des informations de proximité concernant les utilisateurs (V. Dalloz actualité, 21 avr. 2020, préc.). Plus précisément, le Comité apporte des éclaircissements sur l’anonymisation des données de localisation (pt 14 s.), la base juridique du traitement (pt 29 s.), l’usage des algorithmes (pt 36 s.), la nécessité de réaliser une analyse d’impact (pt 39), le respect du principe de minimisation (pt 40 s.). Enfin, on signalera la présence, en annexe de ces lignes directrices, d’un guide qui, sans être exhaustif, a pour objectif de fournir des conseils généraux aux concepteurs et aux responsables de la mise en œuvre des applications de « contact tracing ».

 

Réagissez à cet article

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.