COVID 19 et données personnelles

Dans le cadre de la lutte contre la pandémie de coronavirus, (COVID 19) plusieurs acteurs se sont penchés sur des solutions informatiques de traçage de contact. Si le recours à la captation des données personnelles s’est généralisé sur le continent asiatique, il en va différemment en Occident, où le public reste globalement méfiant. En France, la Commission Nationale de l’Informatique et des Libertés (CNIL), préalablement saisie par le secrétaire d’Etat chargé du numérique, a formulé un avis plutôt favorable concernant StopCovid, la première application française de suivi des contacts. La CNIL a tout de même appelé à la prudence, et à juste titre.

La protection des données personnelles en droit européen

Il est aujourd’hui acquis que les données à caractère personnel doivent faire l’objet d’une protection particulière. Le sujet précède d’ailleurs l’avènement d’internet. Il découle en effet du droit à la vie privée, qui est inscrit à l’article 12 de la déclaration universelle des droits de l’Homme de 1948, et à l’article 17 du Pacte international relatif aux droits civils et politiques de 1976. En Europe, le droit à la protection des données personnelles a pour fondation le droit à la vie privée, dont la Convention européenne des Droits de l’Homme et la Charte des droits fondamentaux de l’Union européenne font écho, respectivement, en leurs articles 8 et 7.

Aujourd’hui c’est l’Europe qui possède le cadre le plus aboutit en matière de protection des données à caractère personnel. C’est d’ailleurs sur le vieux continent, dans le cadre du système du Conseil de l’Europe, que le premier texte contraignant relatif à la protection des données, la Convention 108 de 1981, a vu le jour. Avant ce dernier, la protection des données personnelles était régie principalement par les Résolutions 73/22 et 74/29 du Conseil de l’Europe, et les lignes directrices de l’Organisation de coopération et de développement économiques (OCDE) sur la protection de la vie privée et les flux transfrontières de données de caractère personnel de 1980.

En Mai 2018, le Règlement Général pour la Protection des Données (RGPD), parachevait l’attirail normatif communautaire en venant renforcer la protection des données à caractère personnel dans l’Union. Le RGPD va avoir une influence considérable, notamment en termes de responsabilisation des acteurs, et de sensibilisation du public. C’est donc sans surprise que les dispositifs de suivi des contacts pensés pour faire face au COVID 19 soulèvent la méfiance du public.

Des applications controversées

Rapidement, des voix se sont élevées contre l’utilité des réponses technologiques à la pandémie. D’abord les prérequis pour que leur soit reconnue une véritable efficacité sont lourds et difficilement atteignables en pratique. C’est en tout cas ce que le Think Tank américain Brookings  explique dans une récente étude; « Les applications de suivi sont susceptibles d’être à la fois trop -et pas assez- inclusives. Des experts de plusieurs disciplines ont montré pourquoi les téléphones mobiles et leurs capteurs constituent des indicateurs imparfaits de l’exposition au coronavirus. »

Il y a aussi un risque réel de systématisation du recours aux applications de suivi par les Etats pour des raisons qui ne procéderaient plus vraiment de l’urgence. La CNIL a notamment mis en garde contre ce risque, aussi appelé risque de « Function Creep. » Conscient du risque de dérive, le Haut-commissariat aux Droit de l’Homme de l’ONU a lui aussi appelé à la précaution, ajoutant que les mesures exceptionnelles doivent toujours répondre aux critères de proportionnalité, de nécessité et de non-discrimination. Le 23 avril 2020, Antonio Guterres, Secrétaire général de l’Organisation des Nations Unies, demandait également à ne pas reléguer les droits fondamentaux au second plan dans le contexte de la lutte contre le COVID 19.

En fait, les applications de suivi procèdent du besoin urgent d’établir un cadre temporaire destiné à sauvegarder l’intérêt général. C’est une situation prévue par le RGPD. En tant que mesures d’exception, les applications de suivi n’ont cependant pas vocation à relever de droit commun. Il est donc important que les dispositifs exceptionnels de captation des données personnelles soient encadrés et limités dans le temps, afin que l’opportunisme ne prenne pas le pas sur la nécessité.

Le dilemme des démocraties occidentales 

Bien sûr, le recours aux données personnelles n’est pas une solution miracle. Une crise comme la pandémie de COVID 19 nécessite d’abord la prise de mesures sanitaires pertinentes. La technologie ne doit donc pas éclipser une politique gouvernementale multisectorielle. Malgré tout, des études ont montré que les applications de suivi pourraient avoir leur utilité si elles étaient suffisamment adoptées. Les questions éthiques, en revanche, peuvent êtres problématiques. Elles le sont particulièrement dans les sociétés occidentales, plus sensibles aux questions de protection de la vie privée.

Il y a en effet une différence flagrante d’acceptation entre les sociétés libérales occidentales et les sociétés asiatiques. Ces dernières aillant plus facilement consenties au traçage. Cela est d’autant plus étonnant que beaucoup des applications utilisées en Asie sont hautement intrusives. Des dispositifs obligatoires comme ceux de la Chine ou de Taiwan seraient contraires aux standards européens de protection de la vie privée.

Le cadre législatif européen offre des garanties fortes contre la collecte et l’utilisation abusive des données personnelles. Le RGPD pose des principes stricts en matière de collecte, stockage et transfert de données personnelles. En France, la CNIL, en tant qu’organisme indépendant, veille à ce que les droits fondamentaux sont respectés dans le contexte des nouvelles technologies. Des lors, la défiance de la population française à l’égard des solutions de suivi peu surprendre.

L’accent mis sur l’individualisme au dépit de l’intérêt général dans les démocraties occidentales ainsi que le manque de confiance d’une partie de la population française dans son leadership expliquent en partie son attitude. La méconnaissance des garanties offertes en matière de droit à la vie privée a aussi pu influencer sur le taux d’acceptation. C’est dommage, car contrairement aux américains, les européens peuvent se targuer de disposer des meilleures lois en la matière.

Pour aller plus loin: 

Akinbi A, Forshaw M, Blinkhorn V. « Contact tracing apps for the COVID-19 pandemic; a systematic literature review of challenges and future directions for neo-liberal societies » Health Inf Sci Syst. 2021 Apr 13;9(1):18.

« Délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid » », CNIL, 24 avril 2020.

« Case Law Of The European Court of Human Rights Concerning The Protection Of Personnal Data« , Data Protection Unit of the Council of Europe, Strasbourg, Juin 2018.

Laura Bradford, Mateo Aboy, Kathleen Liddell, « COVID-19 contact tracing apps: a stress test for privacy, the GDPR, and data protection regimes, » Journal of Law and the Biosciences, Volume 7, Issue 1, January-June 2020, lsaa034.

Lorna McGregor, « Contact-tracing Apps and Human Rights » EJIL:Talk! Blog of the European Journal of International Law, 30 Avril 2020.