La surveillance effectuée par les Etats est un sujet de controverse mondiale - et un sujet d’actualité à la suite de la pandémie actuelle. Chaque pays a ses propres méthodes, et le cadre et l’étendue de la surveillance effectuée par les gouvernements varient énormément selon la juridiction concernée. Mais, nous avons constaté un thème récurrent, notamment la conciliation de la surveillance à des fins de santé mondiale et du droit à la vie privée des individus, surtout en Europe - la capitale de la protection de la vie privée, et leader mondial en matière de protection des données.

Dans ce contexte de Covid-19 et la création des applications "Stop Covid"à travers le monde, cet article vise à présenter : (I) le contexte en France ; (II) les enjeux en matière de la législation sur la protection des données ; (III) la surveillance en matière de Covid au niveau mondial ; et enfin (IV) s’il est possible de concilier le recours aux technologies de surveillance avec la protection des données personnelles dans ce contexte de pandémie.

Introduction.

Récemment, Paris, parmi d’autres villes françaises, a été le foyer de nouveaux drones introduits pour surveiller et disperser tout rassemblement de masse en violation des mesures de confinement. Cependant, cette opération a été brusquement interrompue, pendant que les tribunaux français tentent de trouver comment gérer cette situation sans précédent et éviter ainsi l’introduction d’un État « Big Brother ».

I) Le contexte en France - Etude de cas - Paris.

Lundi le 18 mai 2020, le Conseil d’État a ordonné la Préfecture de police de cesser « sans délai » l’utilisation de drones pour la surveillance des parisiens.
La Préfecture de police avait mis en place des drones afin de contrôler le respect (ou plutôt le non-respect) des mesures du confinement strictes qui ont été imposées aux citoyens français.

Dans cette affaire, la Quadrature du Net et la Ligue des droits de l’homme, deux organisations consacrées à la protection du droit à la vie privée, ont introduit l’affaire devant le Tribunal administratif de Paris afin d’obtenir la cessation immédiate de cette surveillance qui, selon ces dernières, violait les lois sur la protection des données. Cette demande ayant été rejetée par le Tribunal, les deux acteurs ont fait appel à cette décision, en saisissant le Conseil d’État.

Le juge des référés du Conseil d’État, qui permet l’adoption des mesures provisoires mais urgentes en cas de menace immédiate aux droits fondamentaux, a ordonné à l’État de cesser immédiatement la surveillance par drones. Cette mesure est mise en place avant qu’un jugement complet ne soit rendu et tant « qu’un arrêté ou décret ministériel n’aura pas été pris sur le sujet après avis de la CNIL, ou tant que les drones ne seront pas dotés d’un dispositif de nature à rendre impossible l’identification des personnes filmées ».

II) Les enjeux en matière de la législation sur la protection des données.

Collecte et traitement de données personnelles ?

Les juges ont souligné le fait que l’utilisation de ces drones implique la collecte de données - qui peuvent notamment être utilisées afin d’identifier des personnes concernées. Il est alors indiscutable que de telles données seront alors des données à caractère personnel (ci-après, données personnelles) conformément à la définition précisée à l’article 4 du Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (ci-après, le RGPD).

En tant que telles, ces données personnelles sont alors soumises aux protections accordées par le RGPD, ainsi qu’à la loi informatique et libertés du 6 janvier 1978 (telle que modifiée) et aux lignes directrices de la Commission nationale de l’informatique et des libertés (ci-après, le CNIL), l’autorité de contrôle française en matière de protection des données personnelles.

Dans le cadre de la procédure précitée, il a été constaté que ces drones n’étaient équipés d’aucun dispositif technique garantissant la confidentialité et l’anonymat des données collectées par les drones, alors que la Préfecture de Police de Paris aura une obligation, en tant que responsable de traitement, de traiter les données collectées de façon à « garantir une sécurité appropriée ... à l’aide de mesures techniques ou organisationnelles appropriées (intégrité et confidentialité) » (cf. l’article 5(1)(f) du RGPD).

En effet, il convient également de noter l’absence de dispositifs techniques pour garantir la sécurité des données personnelles des personnes concernées, tels qu’un cryptage complet des fichiers, la transformation de telles données en fichiers texte et la suppression de la copie originale, ou d’autres mesures techniques de ce type, tel que requis par l’article 32 du RGPD (imposant aux responsables de traitement et leurs sous-traitants une obligation d’assurer la sécurité du traitement effectué).

Au moment de la rédaction, nous ne disposons que de très peu d’informations sur : (i) la manière dont ces données personnelles ont été traitées et stockées ; et (ii) les garanties juridiques quant aux finalités de leur traitement.

En outre, ces données personnelles, telles que collectées par les drones, pourraient facilement être considérées en tant que données relevant des catégories particulières de données à caractère personnel (autrement dit, les données sensibles), telles que prévues à l’article 9 du RGPD, en l’occurrence les données biométriques, qui nécessitent et bénéficient d’un niveau de protection plus élevé.

Cependant, toutes les images faciales ne sont pas automatiquement classées comme des données biométriques - les images faciales ne deviennent des données biométriques que si le responsable de traitement ou son sous-traitant « effectue un traitement technique spécifique, qui consiste généralement à utiliser les données d’image pour créer un modèle ou un profil numérique individuel, que ces derniers utilisent ensuite pour la comparaison et l’identification automatisées des images » [1].
Par conséquent, le manque d’informations sur comment ces données personnelles collectées par les drones ont été traitées en réalité, reste alors une source de préoccupation pour les personnes concernées et les législateurs.

Toutefois, la Préfecture de police a indiqué que ses drones sont uniquement utilisés pour identifier des rassemblements publics de masse en violation des mesures mises en place, et non pour surveiller, suivre et identifier des individus. En outre, la Préfecture a déclaré que ces drones n’auront aucune faculté de conserver ou enregistrer des images car ils ne possèdent pas de carte mémoire.

Néanmoins, en l’espèce, le Conseil d’Etat n’a pas retenu les arguments de la Préfecture de
police, car les caméras intégrées dans les drones possèdent une fonction de zoom optique et donc la possibilité d’identification des individus reste une réalité.

Base légale.

D’une manière générale, et hormis les éventuelles failles de sécurité et/ou les manquements afin d’assurer une protection adéquate, il s’avère que la Préfecture de Paris pourrait néanmoins justifier l’utilisation de drones, notamment en s’appuyant sur les dispositions de l’article 6 du RGPD portant sur la légalité du traitement. En effet, l’article 6(1)(d) du RGPD autoriserait un traitement effectué par la Préfecture lorsque le traitement est nécessaire à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique ; alors que l’article 6(1)(e) du RGPD souligne qu’un tel traitement serait légitime lorsqu’il est nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement. Clairement, dans le cadre de la pandémie actuelle, la Préfecture de police dispose de bases légales applicables afin de justifier le traitement effectué. De même, en matière de données sensibles, et notamment le traitement de données biométriques, la Préfecture de police pourrait s’appuyer sur les dispositions de l’article 9(2)(i) du RGPD, dans le sens où le traitement effectué par cette dernière serait nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique.

Mise en oeuvre des mesures au préalable.

En effet, et malgré l’urgence de la situation actuelle, afin de sécuriser les traitements de données personnelles effectués par l’utilisation des drones, tout responsable de traitement (tout comme la Préfecture de police) devrait s’assurer de la conformité de son traitement proposé, avant toute mise en oeuvre. En plus de la mise en place des mesures de sécurité et de confidentialité appropriées, il faudra notamment s’assurer que les relations avec les éventuels sous-traitants (ex. les fournisseurs de drones, et la technologie de surveillance, de traçage ainsi que tout fournisseur de stockage (cloud / serveur intégré) soient bien sécurisées par voie de contrat afin de contractualiser les obligations et les responsabilités de chacun, et ce conformément aux dispositions de l’article 28 du RGPD. De même, lorsqu’un traitement implique l’utilisation des nouvelles technologies, le traitement des données personnelles sera effectué à grande échelle sur des catégories de données sensibles ou lorsque il s’agit de la surveillance systématique à grande échelle d’une zone accessible au public, il est préconisé d’effectuer une analyse d’impact afin de mieux comprendre les enjeux et le niveau de risque pour les droits et libertés des personnes physiques concernées par le traitement anticipé (cf. l’article 35 du RGPD). Lorsque le responsable de traitement constate que son traitement anticipé présenterait un risque élevé, l’article 36 du RGPD prévoit qu’il pourrait consulter l’autorité de contrôle, la CNIL en France, afin de solliciter des conseils sur la conformité du traitement proposé.

III) La surveillance en matière de Covid au niveau mondial.

France.

Selon Technopolice [2], l’État français possède désormais plus de 1 000 drones de ce type après un appel d’offres lancé en avril dernier pour la commande de 650 drones, dont 565 parmi eux sont appelés « drones de quotidien ».

Royaume-Uni et Chine.

L’utilisation de ces drones a également été observée de l’autre côté de la Manche au Royaume-Uni, ainsi qu’une utilisation à long terme en Chine. Ce suivi de masse, et les problèmes de confidentialité des données personnelles qui y sont liés, sont également le résultat de nouvelles applications de traçage des contacts, qui sont en cours de développement et approuvées par les gouvernements de chaque pays.

La version française de l’application, StopCovid, a notamment fait l’objet d’une controverse quant au feu vert de la CNIL [3] pour la mise en place de l’application, alors que certaines questions de confidentialité des données ne sont toujours pas claires [4].
Le protocole et le code source utilisés, appelés « ROBERT », sont désormais disponibles pour inspection sur le Gitlab de l’Inria [5], afin de permettre la collaboration et la transparence.

Il existe également des débats sur la question de savoir si ces applications doivent être centralisées ou décentralisées - qui doit être responsable des données, des fonctions, des processus ? Google et les autres acteurs de la #Bigtech ? Ou les États eux-mêmes ? La France et le Royaume-Uni sont deux pays qui souhaitent conserver ce contrôle. Cédric de Villani s’est exprimé devant l’Ordre des Avocats de Paris sur l’importance du débat sur le droit à la vie privée et la surveillance dans la politique française. Il a souligné que si des pays comme la Corée du Sud ont fait face à cette pandémie avec un succès étonnant, principalement grâce à leur réaction rapide et au renforcement de la surveillance et du traçage des contacts, la vérité est qu’un tel modèle ne peut pas être simplement faire l’objet d’une copie-colle en France en raison des différences juridiques et culturelles.

IV) Conclusion - est-ce que ces techniques de surveillance peuvent-elles être conciliées avec le droit à la vie privée ?

Une grande partie de cette situation est liée à la proportionnalité de l’action (dans ce cas, l’utilisation de drones) par rapport à la finalité (identifier des attroupements de personnes ne respectant pas les consignes de l’état d’urgence sanitaire). Le gouvernement français doit s’assurer que ces mesures ne sont et ne seront utilisées qu’à cette fin et uniquement pour la période nécessaire, c’est-à-dire jusqu’à ce que de telles mesures de distanciation sociale doivent être mises en place.

En outre, ils doivent également mettre en œuvre des mesures techniques et organisationnelles afin de garantir que le traitement des données par ces drones est sécurisé et conforme aux dispositions du RGPD. Il s’agit notamment de ne traiter les données que sur la base de l’une des six bases légales mentionnées à l’article 6 du RGPD (dans ce cas, les intérêts publics et vitaux), de minimiser le risque de violation des données, de ne conserver les données que si nécessaire, de les rendre anonymes et de les pseudonymiser si possible, et de veiller à ce que le nombre de personnes pouvant accéder aux données soit limité à celui qui est nécessaire pour atteindre la finalité visée. Comme pour tout traitement de données à caractère personnel, les personnes concernées doivent être informées du traitement et des procédures doivent être mises en place pour que les personnes concernées puissent exercer leurs droits en vertu du RGPD.

Néanmoins, l’équilibre entre la surveillance nécessaire pour gagner contre le coronavirus et la protection de notre droit fondamental à la vie privée est difficile à atteindre. Les États devront procéder en s’assurant que la transparence et les valeurs européennes demeurent toujours au premier plan de tout projet en la matière.

Charlotte Gerrish Associée Fondatrice du Cabinet GERRISH LEGAL Paris - Londres