Par Jean-Christophe Guerrini, Avocat.
 
 

Covid-19, données personnelles et vie privée (2ème partie).

Monsieur Thierry Breton, Commissaire européen au marché intérieur, a demandé à certains opérateurs de télécommunication, de communiquer leurs métadonnées pour lutter contre l’épidémie du Covid-19, et plus généralement pour développer des outils d’analyse des épidémies. Quel est l’état droit ?
Voir la 1ère partie de cet article ici

Le 23 mars dernier, nous avons commenté les communiqués des 16 et 19 mars du Comité Européen de la Protection des Données (CEPD) à propos du traitement des données personnelles dans le cadre de l’épidémie de Covid-19 (Voir notre article ici).

La presse vient de relater le fait que ce même 23 mars, Monsieur Thierry BRETON, Commissaire européen au marché intérieur, s’est entretenu avec les dirigeants des plus grands opérateurs télécoms européens, dont Orange pour la France, pour évoquer notamment le sujet du partage de leurs métadonnées.

En effet, l’analyse de ces données permettraient de modéliser la propagation des virus dans la population, et d’anticiper les évolutions et pics épidémiologiques pour adapter les moyens de lutte à mettre en œuvre.

Dans un entretien accordé au Figaro le 20 mars 2020, Monsieur Stéphane Richard, PDG d’Orange, exposait : « Nous travaillons avec l’Inserm pour voir comment les données peuvent être utiles pour gérer la propagation de l’épidémie. Un des chantiers du futur avec l’Inserm est de permettre aux épidémiologistes de modéliser la propagation de la maladie. Dans un tel usage, les données de géolocalisation sont anonymisées. Mais malgré ça, cela demanderait des ajustements réglementaires et un accord de la CNIL. Ainsi, il faudrait pouvoir garder des données sur une durée de temps longue, or actuellement nous devons les supprimer au bout d’un an, nous voudrions les garder deux ans. Ce sont des travaux tout à fait essentiels.
Les données pourraient aussi être utilisées pour mesurer l’efficacité des mesures de confinement, comme en Italie. Je le répète nous parlons de données anonymisées et agrégées. Leur utilisation est indispensable pour mesurer le confinement et pour ajuster les dispositions en fonction des comportements. Il ne s’agit pas de traquer les gens individuellement. Il faut au moins savoir si les gens respectent les périmètres de confinement, ou s’ils se déplacent, sans pour autant savoir qui va où
 ». [1]

Pour autant que ces propos aient été fidèlement rapportés, on peut s’étonner de l’affirmation selon laquelle la conservation de données de géolocalisation anonymisées – c’est-à-dire rendant impossible et de manière irréversible l’identification de l’abonné – nécessiterait des ajustements réglementaires et un accord de la CNIL.

En effet et tout d’abord, la CNIL indique qu’un processus d’anonymisation des données, a pour finalité de rendre impossible la « ré-identification » des personnes. Ces données, n’étant plus des données à caractère personnel, elles peuvent être conservées librement et valorisées notamment par la production de statistiques. [2]

Ensuite, l’article L 34-1 du Code des postes et des communications électroniques, dispose entre autres « Les opérateurs de communications électroniques, et notamment les personnes dont l’activité est d’offrir un accès à des services de communication au public en ligne, effacent ou rendent anonyme toute donnée relative au trafic (…)

Comme nous l’avons déjà écrit, ce même texte prévoit une série d’exceptions limitativement énumérées. Notamment, il dispose que l’obligation d’anonymisation des données techniques peut être différée d’un an pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales ou d’un manquement à l’obligation définie à l’article L 336-3 du code de la propriété intellectuelle ou pour les besoins de la prévention des atteintes aux systèmes de traitement automatisé de données, et dans le seul but de permettre, en tant que de besoin, la mise à disposition de l’autorité judiciaire ou de l’HADOPI ou de l’ANSSI.

Ce texte renvoie à un décret en Conseil d’Etat pour fixer la nature des données qui peuvent être conservées et la durée de conservation.

C’est ainsi que l’article R 10-13 du Code des postes et communications électroniquesprévoit « la durée de conservation des données mentionnées au présent article est d’un an à compter du jour de l’enregistrement ».

De même, l’article R 10-14 du même code prévoit que l’anonymisation peut être repoussée d’un an pour les besoins de facturation de l’abonné.

Dès lors, il ne nous apparaît pas qu’il soit nécessaire d’attendre des ajustements réglementaires ou un accord de la CNIL pour exploiter des données de géolocalisation anonymisées.

Enfin, dans ses communiqués des 16 et 19 mars, le CEPD traite du sujet des données de géolocalisation et distingue selon que ces données sont anonymisées ou pas.

Le CEPD expose que dans certains États membres, les gouvernements envisagent d’utiliser les données de localisation de téléphones mobiles comme un moyen possible de surveiller, de contenir ou d’atténuer la propagation de Covid-19.

Selon le Comité, les pouvoirs publics devraient d’abord chercher à traiter les données de localisation de manière anonyme (c’est-à-dire à traiter les données agrégées de manière à ce que les individus ne puissent pas être identifiés), ce qui pourrait permettre de générer des rapports sur la concentration des appareils mobiles à un certain endroit (« cartographie ») .

Les règles de protection des données personnelles ne s’appliquent pas aux données qui ont été correctement anonymisées.

Le Comité ajoute que l’utilisation de données de localisation de mobiles pourrait aller jusqu’à la possibilité de géolocaliser des individus ou d’envoyer des messages de santé publique à des individus dans une zone spécifique par téléphone ou SMS.

Le CEPD ouvre une porte en rappelant que l’article 15 de la directive ePrivacy permet aux États membres d’introduire des mesures législatives pour sauvegarder la sécurité publique.

Une telle législation exceptionnelle n’est possible que si elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique, notamment justifiée par l’urgence.

De telles dispositions doivent être conformes à la Charte des droits fondamentaux et à la Convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales.

En outre, une telle législation est soumise au contrôle de la Cour de Justice de l’Union Européenne et de la Cour Européenne des Droits de l’Homme.

Enfin, l’application de telles mesures devrait être strictement limité à la durée de l’urgence en cause.

Si le ministre des solidarités et de la santé a récemment exprimé son souhait de ne pas nous diriger vers une stratégie telle que celle adoptée par certains pays tels que la Corée du Sud pour lutter contre le Covid 19, consistant notamment à rechercher systématiquement les proches de toutes les personnes contaminées, avant de se voir proposer un test de dépistage, force est de constater qu’il dispose des moyens pour demander au législateur de mettre momentanément un voile sur le respect de la vie privée dans un intérêt de sécurité publique.

Notes :

Jean-Christophe GUERRINI
Avocat au barreau de Paris

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

3 votes

A lire aussi dans la même rubrique :

LES HABITANTS

Membres
PROFESSIONNELS DU DROIT
Solutions
Formateurs