2. La protection des données personnelles par les autorités publiques
2.1 Des collectes classiques par les autorités sanitaires…
La question se pose de savoir si les autorités, qui affrontent la situation d’une façon que le présent article n’a pas vocation à qualifier, sauront également respecter la protection des données personnelles des individus, et plus largement les libertés publiques. Les interactions entre droits fondamentaux et états d’exception font l’objet d’une littérature déjà ancienne, tant juridique que philosophique, mais les progrès technologiques invitent à penser ces interactions à nouveaux frais.
En effet, désormais on songe à lutter contre la pandémie en recourant à des moyens de surveillance numérique qui n’existaient pas encore il y a peu : collecte de données biométriques comme la température corporelle, collecte de la géolocalisation des individus, tracking des interactions sociales, figurent aujourd’hui dans la palette des outils que d’aucuns imaginent mettre en œuvre, parfois avec les meilleures intentions du monde, mais sans toujours bien penser aux effets pervers.
L’Etat et les agences régionales de santé peuvent et doivent, dans le cadre de la protection de l’intérêt général et de leurs missions d’intérêt public, collecter toutes informations utiles et pertinentes pour prévenir, juguler la contamination, et surtout soigner les personnes infectées.
Or, si les soins mis en œuvre dans les établissements de santé (publics et privés) reposent sur les fondements usuels liés à la sauvegarde des intérêts vitaux des personnes et plus généralement à l’exercice de la médecine, il apparaît que d’autres autorités (Etat, ARS, voire autorités de police ?) peuvent également être amenées à collecter des données de santé dans le contexte actuel ; la question se pose de définir la base légale qui les y autorise.
Certes, le traitement et la collecte des données personnelles de la population est permis, pour les autorités compétentes, en se fondant sur l’intérêt général, l’une des bases légales listées à l’article 6 du RGPD qui permet de se passer du consentement individuel des personnes concernées. Combattre la pandémie et prévenir les contaminations relève à l’évidence de cet intérêt général.
Mais le recours à cette base légale n’est pas dispensé du respect des principes de minimisation, de proportionnalité ou encore de privacy by design. Et en la matière, un équilibre doit nécessairement être trouvé entre la protection de la vie privée des individus – y compris leurs données de santé et donc leur éventuelle infection par la covid-19, d’une part, et l’intérêt général d’autre part.
A cet égard, l’Agence nationale de la santé publique française, Santé Publique France, a pour mission l’observation et la surveillance épidémiologique pour approfondir sa connaissance de l’état de santé de la population afin de mettre en place les politiques de santé les plus adaptées aux besoins, aux problèmes de santé, et pour faire face aux situations sanitaires exceptionnelles comme celle à laquelle nous sommes aujourd’hui confrontés.
Celle-ci indique que les données collectées à cet effet ne peuvent être conservées par les autorités que pour la seule durée des investigations nécessaires à la maîtrise de la pandémie, après quoi elles devront être détruites ou anonymisées définitivement. Cette collecte est en effet uniquement liée à la finalité de suivi et de maîtrise de la pandémie, par élaboration des statistiques de propagation notamment.
2.2 …Aux collectes « innovantes »
Mais actuellement, le débat porte sur d’autres collectes que la seule collecte des données de santé par les autorités sanitaires en charge de lutter contre la covid-19. On parle depuis quelques semaines de déployer des applications permettant un suivi plus corseté et systématique des personnes infectées ou supposées telles. Et ici, les questions liées aux finalités poursuivies, aux destinataires des données, au respect de la proportionnalité ou aux risques de détournement de données gagnent en acuité.
Les diverses expériences observées
En effet, dès lors qu’il est question de collecter des données de géolocalisation (et a fortiori de les croiser avec des données de santé), la Directive eprivacy 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, s’applique également.
Or, cette directive n’autorise la données de telles collectes que (i) si une loi nationale ou un texte européen le prévoit expressément, (ii) elles font l’objet d’une anonymisation, ou (iii) si la collecte fait l’objet du consentement préalable de la personne concernée, pour des finalités qui lui sont clairement exposées.
Les médias prennent en exemple les initiatives d’autres pays face à la covid-19, telle la Corée du Sud qui collecte des données issues des dispositifs de vidéosurveillance, d’utilisation des cartes bancaires ou de bornage des téléphones portables, c’est-à-dire une collecte massive de données personnelles, relatives à des personnes malades ou non. On parle donc ici d’un suivi indifférencié des personnes, potentiellement sans leur consentement.
A titre d’exemples, le ministère de la Santé polonais a mis en place une application « Home Quarantine », qui exige la prise de selfies tout au long de la journée pour prouver son confinement continu, tandis que l’Irlande a instauré une application de suivi reposant sur le consentement de l’utilisateur à ce que ses déplacements soient tracés. Un état australien a voté une loi imposant un bracelet électronique aux personnes contaminées, avec comme alternative l’emprisonnement. Ailleurs encore, l’on veut croiser les données de géolocalisation et les données de réseaux sociaux afin de contrôler les fréquentations des individus contaminés, et l’on songe sérieusement à des applications qui iraient jusqu’à noter le niveau de contagiosité des individus et en informer les autorités… pendant qu’une société américaine propose de déployer des objets connectés pour permettre aux entreprises de suivre elles-mêmes leurs salariés malades. Et il ne s’agit là que d’un rapide florilège des idées qui fleurissent, peu compatibles avec les libertés publiques et la protection de la vie privée.
Des voix se sont élevées en Europe pour réclamer de mettre à contribution des données de communications électroniques (en clair, la géolocalisation des terminaux téléphoniques) pour contrôler les mouvements des populations, les attroupements et le respect du confinement ou des quarantaines.
En France, Orange a transmis à l’INSERM des informations sur les déplacements de ses abonnés, et notamment l’information selon laquelle 20% de ses abonnés franciliens avaient quitté la capitale à l’annonce du confinement.
L’opérateur a toutefois précisé qu’il n’avait nullement transmis de données individuelles à l’INSERM, mais uniquement des données agrégées, statistiques et donc non personnelles, pour permettre à l’INSERM d’analyser la mobilité autour du confinement (et pour s’il est respecté) et affiner son modèle épidémiologique en fonction de la mobilité des personnes, pour ajuster la réponse sanitaire globale. SFR a fait de même début avril avec les données de ses abonnés, utilisées pour produire des statistiques transmises à l’AP-HP et l’INRIA.
Il est certain que tant que les opérateurs de communications électroniques ne fournissent aux autorités que des données agrégées, exemptes de donnée relative aux terminaux mobiles ou à leurs porteurs, il n’y a pas là de traitement de données personnelles. Ce sont des données statistiques utiles aux autorités pour détecter et encadrer les déplacements dans le cadre là encore de la lutte contre la pandémie.
Toujours en France, d’aucuns ont proposé de mettre en œuvre la reconnaissance faciale, dont le secrétaire d’état au numérique, qui n’a cependant pas détaillé en quoi la reconnaissance faciale permettrait de prévenir les contagions sans croisement avec d’autres données dont les données de santé… En parallèle le ministère des armées lançait, mi-mars 2020, un appel d’offres pour solutions innovantes pour aider à « limiter les déplacements » et « lutter contre la transgression » des mesures de confinement.
Des expérimentations de surveillance des rues par drones ont été lancées à Paris et Marseille (ils ne sont pas équipés, au contraire des drones chinois, de détecteur thermiques qui renseigneraient sur l’éventuelle infection de la personne observée…). Puis, le développement d’applications de « tracking » des personnes contaminées, ou suspectées de contamination, a été lancé.