Accueil
Le quotidien du droit en ligne
Envoyer à un ami-A+A
Article

Coronavirus et « suivi de localisation » : le Comité européen de la protection des données en première ligne

La déclaration adoptée par le Comité européen de la protection des données (CEPD) le 19 mars 2020 est venue rappeler que la légalité des dispositifs de « suivi numérique » ou data tracing qui sont notamment envisagés par la France dépend dans une large mesure du respect du règlement UE 2016/679 (RGPD) et de la directive 2002/58 (e-Privacy). Courageuse, cette position intervient dans un contexte de tensions entre l’Union et ses États membres quant au champ d’application du droit européen de la protection des données personnelles.

par Daniel Venturale 10 avril 2020

Dans son article daté du 30 mars 2020, Alexandra Guérin-François a présenté le contenu de la déclaration adoptée le 19 mars dernier par le Comité européen de la protection des données. La déclaration rappelle, en substance, que les traitements de données personnelles justifiés par la lutte contre les pandémies entrent dans le champ d’application du droit européen de la protection des données personnelles et doivent par conséquent s’y conformer.

La déclaration du 19 mars 2020 distingue deux catégories de traitements de données pouvant revêtir un intérêt dans le cadre de la prévention de la santé publique et de la lutte contre la pandémie actuelle. Il s’agit, d’une part, des traitements de données personnelles mis en œuvre par les autorités publiques de santé ainsi que les traitements effectués par les employeurs, lesquels relèvent tous deux du champ d’application du RGPD. Il s’agit, d’autre part, des traitements de données personnelles relatives au trafic et à la localisation (métadonnées) par les fournisseurs de services de communications électroniques et les autorités publiques, lesquels font l’objet de règles ad hoc inscrites dans la directive 2002/58 (e-Privacy) et qui complètent le RGPD.

Un certain nombre de mesures nationales envisagées par les autorités publiques et relayées par les médias ne sont pas exposées à un risque réel de contrariété à ces instruments. Ce risque peut être inexistant, d’une part, si les mesures reposent sur des données strictement anonymes qui ne rentrent ainsi pas dans leur champ d’application (c’est le cas des applications de cartographie montrant de grandes tendances de déplacement de population). Ce risque peut être limité, d’autre part, lorsque les mesures reposent sur le consentement préalable des personnes visées. Le consentement est en effet la condition de principe de tout traitement licite de données à caractère personnel. Encore convient-il, par la suite, que les mesures respectent le régime applicable à la mise en œuvre des traitements de données, point sur lequel nous renvoyons aux propos d’Alexandra Guérin-François.

Une législation nationale prévoyant des mesures de suivi de localisation justifiées par la lutte contre le coronavirus tombe dans le champ d’application du droit de l’Union

Cette note entend mettre en avant l’audace du Comité européen de la protection des données quant à la question du traitement des données de localisation qui entrent dans le champ de la directive e-Privacy.

En effet, la déclaration du 19 mars insiste sur le fait que les États membres qui souhaitent mettre en œuvre des mesures nécessitant un traitement de données personnelles de localisation en l’absence de consentement des utilisateurs de services de communications électroniques ne peuvent le faire qu’au travers de mesures législatives adoptées en vertu de l’article 15, § 1 de cette directive. Cette disposition autorise les États membres à limiter la portée des droits et obligations qui y sont prévus, notamment « pour sauvegarder la sécurité nationale – c’est-à-dire la sûreté de l’État –, la défense et la sécurité publique ou assurer la prévention, la recherche, la détection et la poursuite d’infractions pénales ». Or le Comité considère dans sa déclaration que les traitements de données de localisation effectués dans le cadre de la lutte contre la pandémie peuvent bel et bien être justifiés par la « sauvegarde de la sécurité publique ».

Plus fondamentalement encore, le Comité précise implicitement que les législations nationales adoptées sur la base de cette disposition ne sont pas exorbitantes du droit de l’Union et doivent à ce titre respecter les conditions induites par l’applicabilité de la Charte des droits fondamentaux de l’Union. En effet, la déclaration prévoit non seulement que l’État membre « est obligé » de mettre en place des garanties adéquates mais encore que le principe de proportionnalité est applicable aux mesures envisagées et que le rapport de proportionnalité à l’atteinte aux droits fondamentaux ne peut s’entendre que dans des circonstances exceptionnelles et sur la base des modalités concrètes du traitement.

Un constat bienvenu, dans le prolongement de la jurisprudence de la Cour de justice de l’Union européenne

L’affirmation effectuée par le Comité n’est pas anodine, loin de là, puisque ce dernier refuse de faire sienne l’argumentation de nombreux États membres, dont la France, selon laquelle toute législation justifiée par la sauvegarde de la sécurité publique, la défense ou la sécurité nationale échappe à l’application du droit de l’Union européenne en vertu des articles 1er, § 3 de la directive 2002/58 et 4, § 2, du Traité sur l’Union européenne (TUE). La France a notamment fait sienne cette interprétation à propos de la loi n° 2015-912 relative au renseignement (v., en ce sens, la position de la ministre des armées à propos de l’arrêt Tele2 et Watson rendu par la grande chambre de la CJUE le 21 déc. 2016).

Il est vrai qu’interprétée dans son sens le plus strict, la jurisprudence de la CJUE dans les arrêts Digital Rights (8 avr. 2014, aff. C-293/12, AJDA 2014. 773 ; ibid. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1355, et les obs. , note C. Castets-Renard ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; Légipresse 2014. 265 et les obs. ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 283, édito. J.-P. Jacqué ; ibid. 2015. 117, étude S. Peyrou ; ibid. 168, obs. F. Benoît-Rohmer ; ibid. 786, obs. M. Benlolo-Carabot ), Tele2 et Watson (21 déc. 2016, aff. jointes C-203/15 et C-698/15, AJDA 2016. 2466 ; ibid. 2017. 1106, chron. E. Broussy, H. Cassagnabère, C. Gänser et P. Bonneville ; D. 2017. 8 ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 230, obs. D. Forest ; JAC 2017, n° 43, p. 13, obs. E. Scaramozzino ; RTD eur. 2017. 884, obs. M. Benlolo-Carabot ; ibid. 2018. 461, obs. F. Benoît-Rohmer ; Rev. UE 2017. 178, étude F.-X. Bréchot ) et Ministerio Fiscal (2 oct. 2018, aff. C-207/16, AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser ; D. 2018. 1913 ; AJ pénal 2018. 584, obs. B. Nicaud ) n’a reconnu l’applicabilité du droit de l’Union aux législations nationales prises en vertu de l’article 15, § 1 que dans le contexte de la lutte contre la criminalité grave.

Pourtant, dans ses conclusions sous l’affaire La Quadrature du Net (concl. du 15 janv. 2020, aff. jointes C-511/18 et C-512-18, v. par ex. pt 122), l’avocat général a considéré que les solutions exposées dans les affaires citées sont transposables aux législations ayant pour objet la défense de la sécurité nationale et de la sécurité publique. Selon lui, dès lors que l’activité liée à la sécurité nationale ou la sécurité publique nécessite le concours d’opérateurs économiques auxquels certaines obligations sont imposées par la directive, le droit de l’Union s’applique nécessairement. La clause d’exclusion du droit de l’Union européenne prévue à l’article 1er, § 3, ne concernerait que les activités propres aux États, qui ne requièrent pas la collaboration d’opérateurs économiques, ce qui n’est donc pas le cas du traitement des données de localisation acquises auprès de fournisseurs de services de communications électroniques.

Bien que l’arrêt de la Cour de justice n’ait pas encore été rendu et ne permette pour l’heure de confirmer la position de l’avocat général, la déclaration du Comité de la protection des données donne un signal : l’Union européenne entend garantir un niveau de protection très élevé du droit à la protection des données personnelles, à plus forte raison lorsque les États membres entendent en restreindre la portée.

Un signal fort pour les États… dans un contexte de lutte d’intérêts

En France, la loi n° 2015-912 relative au renseignement avait déjà prévu des mesures de recueil de données numériques personnelles en temps réel, dans le contexte de la prévention des actes de terrorisme (CSI, art. L. 851-2 à L. 851-4). Ce sont ces dispositions qui ont fait l’objet d’un renvoi préjudiciel du Conseil d’État devant la Cour de justice dans l’affaire La Quadrature du Net afin d’en apprécier la compatibilité au regard de l’article 15, § 1, de la directive e-Privacy. La position de l’avocat général sur le régime applicable à de telles mesures est claire : l’article 15, § 1, de la directive 2002/58 ne s’oppose pas à une législation permettant le recueil en temps réel de données relatives au trafic et les données de localisation de personnes spécifiques, pour autant que ces actions soient conformes aux exigences du droit de l’Union. Tel n’est pas le cas, en l’état, de la législation française qui prévoit notamment une conservation de données « générale et indifférenciée » portant une atteinte disproportionnée au droit au respect de la vie privée et familiale et à la protection des données à caractère personnel.

Pour l’heure, rien n’indique que les pistes de réflexions relatives à une éventuelle application « StopCovid » et qui ont été présentées pour la première fois le 8 avril 2020 par le ministre de la santé et le secrétaire d’État à l’économie numérique ne puissent pas être conformes aux prescriptions du droit européen de la protection des données personnelles. Les détails à venir permettront d’évaluer spécifiquement si un tel dispositif est conforme per se à la directive ou bien s’il ne peut tirer sa validité que du respect des conditions induites par la clause de restriction des droits et obligations inscrite dans l’article 15, § 1, de la directive e-Privacy.

Toujours est-il que les États membres de l’Union, et en particulier la France, persistent à vouloir exclure l’application du droit de l’Union aux législations adoptées sur le fondement de cette clause. C’est exactement dans cette direction que se profile la dernière mouture de l’article 11, § 1, du projet de règlement e-Privacy (ex-art. 15, § 1 de la directive 2002/58) en date du 6 mars 2020. Le motif tiré de la défense de la sécurité nationale n’y apparaît plus et est présenté comme étant exclusivement du ressort de la clause d’exclusion du droit de l’Union (art. 2, § 2, a, du projet de règlement). Gageons que les travaux du Comité de la protection des données personnelles et les arrêts attendus de la CJUE (Privacy International [aff. C-520/18], La Quadrature du Net [aff. jointes C-511/18 et C-512/18] et Ordre des barreaux francophones et germanophones [aff. C-623/17] inciteront le Conseil de l’Union européenne à ne pas s’engager dans cette direction.

 

Réagissez à cet article

Le contenu de ce champ sera maintenu privé et ne sera pas affiché publiquement.