Pour lutter contre la crise du COVID-19 et notamment afin d’assurer un déconfinement maîtrisé, nombreuses sont les autorités étatiques qui envisagent de faire développer une application mobile permettant de suivre la propagation du virus au sein de la population. Cette stratégie fait toutefois débat car elle oppose des enjeux de santé publique à un droit fondamental qu’est le droit à la vie privée. Où poser la limite entre ces deux impératifs ?
Le traçage des contacts (« contact tracing ») est une technologie permettant de retracer la chaîne de transmission du virus entre les citoyens et ainsi de surveiller sa diffusion au sein de la population. Le postulat de base est que l’ampleur de la maladie est devenue telle qu’il est quasiment impossible de maîtriser sa diffusion à l’échelle humaine sans l’intervention de technologies numériques pour compléter le « traçage manuel » déjà mis en place.
Outre les défis technologiques que ce projet devra relever pour voir le jour, se pose la question du droit au respect de la vie privée consacré par l’article 8 de la Convention Européenne des Droits de l’Homme. En Belgique, l’Autorité de Protection des Données (ci-après « APD ») a été consultée en urgence afin de rendre un avis le 28 avril 2020 sur deux avant-projets d’arrêtés royaux : l’un permet d’encadrer l’utilisation des applications numériques de dépistage et l’autre permet d’encadrer la création d’une base de données dans le cadre de la lutte contre la propagation du COVID-19.
La base de données, créée par l’Institut belge de santé publique Sciensano, servira essentiellement à recueillir les données de santé des patients auprès de divers prestataires de soins ou organisations de santé ou de soins. L’objectif est triple : (i) identifier et contacter les patients concernés (ii) permettre des études scientifiques, statistiques, après pseudonymisation ou anonymisation et enfin (iii) transmettre les données aux services d’inspection de la prévention en matière de santé dans les régions afin de combattre la propagation du virus.
Dans le présent article, nous nous concentrerons davantage sur l’utilisation des applications de dépistage.
L’Autorité de Protection des Données ne s’oppose pas fondamentalement au développement de ce type d’application dès lors qu’il s’agit de préserver la santé publique. Néanmoins, un certain nombre de garanties doivent être apportées.
- Nécessité et proportionnalité
Le principe est que toute ingérence dans la vie des citoyens n’est licite que si elle est nécessaire et proportionnée à l’objectif d’intérêt général qu’elle poursuit.
- Un traitement de données nécessaire
Dans un premier temps, le traitement des données doit permettre d’atteindre l’objectif poursuivi, à savoir la lutte contre la propagation du COVID-19. Pour ce faire, il faudra démontrer l’efficacité des applications sur le terrain. Leur conformité à la loi dépendra, en partie, de cette efficacité présumée.
A cet égard, l’APD estime que « (…) l’efficacité des applications numériques de dépistage de contacts ne peut pas être pensée en isolation de la politique globale de santé publique visant à lutter contre la propagation du coronavirus COVID-19 parmi la population (…) ».
Dans un second temps, la mesure qui consiste à utiliser des applications de traçage pour endiguer la propagation du virus doit constituer le moyen le moins intrusif pour la vie privée afin d’atteindre l’objectif poursuivi.
Cette analyse est assez contraignante car elle implique des preuves factuelles et objectives ainsi que la nécessité de démontrer que les éventuelles autres mesures « moins intrusives pour la vie privée » ne sont pas suffisamment efficaces pour atteindre le but recherché.
- Un traitement de données proportionné
Les applications de contact tracing doivent également passer le test de proportionnalité, c’est-à-dire assurer « un juste équilibre entre les intérêts en présence, les droits et libertés des personnes concernées ». En l’espèce, il faut trouver l’équilibre entre la protection des données à caractère personnel et l’objectif de santé publique derrière ces applications.
Le test consiste à démontrer que « les avantages retirés de l’utilisation d’une application de dépistage sont plus importants que les inconvénients générés pour les personnes concernées ». C’est pourquoi l’APD insiste sur le fait que « l’efficacité des applications numériques de dépistage de contacts ne peut pas être pensée en isolation de la politique globale de santé publique ».
- Garanties supplémentaires
Si cette technologie peut permettre de compléter l’actuel traçage manuel des contacts et ainsi aider à la rompre la chaîne de transmission du virus, il faut néanmoins adopter des garanties solides en ce qui concerne le respect de la vie privée.
Pour l’APD, il n’est pas question de transiger sur les exigences imposées par le RGPD. Les textes des avant-projets d’arrêtés royaux tels que proposés doivent, à son estime, être davantage précisés et détaillés pour éviter les abus ou toute forme de dérive.
L’APD recommande également « la publication du code-source des applications de traçage avant leur mise à disposition au public afin que ses algorithmes puissent être audités par des experts indépendants ».
Enfin, la question du recoupement des données doit être clarifiée afin d’assurer que tout recoupement soit empêché. L’APD insiste sur ce point : il ne doit pas être possible de combiner les données générées par l’application de traçage avec d’autres données.
- La boîte à outils de l’UE
A ce propos, le Comité Européen de la protection des données a publié une boîte à outils commune de l’UE afin de fournir aux États membres un guide pratique pour la mise en œuvre d’applications de contact tracing. Cette boîte à outils établit les exigences nécessaires applicables à ces applications, dont notamment :
- Bien entendu, elles doivent être conformes aux règles de l’UE en matière de protection des données et de la vie privée.
- Elles doivent être mises en œuvre en collaboration avec les autorités de santé publique et approuvées par celles-ci.
- Elles doivent être installées sur une base volontaire : le téléchargement d’une telle application doit se faire de manière volontaire et libre. Les individus qui refuseraient d’utiliser l’application ne peuvent en aucun cas subir un quelconque désavantage, tel qu’un refus d’accès à un bien ou à un service (ex. : entrée dans un magasin, discrimination au niveau du travail, etc.).
- Elles devront être démantelées dès qu’elles ne seront plus nécessaires.
- Elles doivent s’appuyer sur des données anonymisées : en d’autres termes, elles peuvent avertir l’utilisateur s’il s’est trouvé à proximité d’une personne infectée, afin qu’il se fasse dépister ou qu’il s’isole, mais sans lui révéler l’identité de la personne infectée.
- Elles devraient être interopérables dans toute l’UE afin que les citoyens soient protégés même lorsqu’ils franchissent les frontières.
- Et enfin, elles devraient être respectées les meilleures pratiques en termes de cybersécurité.
En outre, le Comité Européen de la protection des données a également publié le 21 avril 2020 des lignes directrices sur l’utilisation de données de localisation et les outils de contact tracing dans le cadre de la lutte contre COVID-19 : https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042020-use-location-data-and-contact-tracing_en.
*
Ce type de projet pose des questions inédites en termes de protection de la vie privée. Il est impératif de chercher l’équilibre entre des mesures qui se veulent efficaces et respectueuses des données personnelles de la population et, sans doute, il faudra abandonner une petite part de liberté pour le bien commun.
Pour de plus amples informations sur le sujet au regard du RGPD :
- Avis de l’APD sur les projets du Gouvernement belge accessibles via ce lien : https://www.autoriteprotectiondonnees.be/news/avis-de-l-APD-sur-arretes-royaux-relatifs-aux-applications-de-tracage-et-base-de-donnees-covid-19 ;
- Avis de la CNIL sur le projet « StopCovid » du Gouvernement français : https://www.cnil.fr/fr/publication-de-lavis-de-la-cnil-sur-le-projet-dapplication-mobile-stopcovid ;
- La page créée par l’ICO concernant la vie privée et le COVID, https://ico.org.uk/global/data-protection-and-coronavirus-information-hub/
- L’analyse de coûts et bénéfices réalisée par l’Autorité espagnole de protection des données concernant les technologies dans le cadre de la lutte contre le virus https://www.aepd.es/sites/default/files/2020-05/analisis-tecnologias-COVID19.pdf
- Le Communiqué de presse de la Commission européenne : https://ec.europa.eu/commission/presscorner/detail/fr/ip_20_670
Frédéric Dechamps, Adeline Balza & Nathan Vanhelleputte, avocats chez Lex4u.
Avant-projet d’arrêté royal n° XXX portant exécution de l’article 5, § 1, 1°, de la loi du 27 mars 2020 habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (II), dans le cadre de l’utilisation d’applications numériques de dépistage de contacts par mesure de prévention contre la propagation du coronavirus COVID-19 parmi la population.
Avant-projet d’arrêté royal n° XXX portant création d’une banque de données auprès de Sciensano dans le cadre de la lutte contre la propagation du coronavirus COVID- 19.
Point 10 de l’Avis n° 34/2020 du 28 avril 2020 concernant un avant-projet d’arrêté royal n° XXX portant exécution de l’article 5, 61, 1°, de la loi du 27 mars 2020 habilitant le Roi à prendre des mesures de lutte contre la propagation du coronavirus COVID-19 (II), dans le cadre de l’utilisation d’applications numériques de dépistage de contacts par mesure de prévention contre la propagation du coronavirus COVID)19 parmi la population.
