#COVID-19 : pas d’état d’urgence pour le droit des données personnelles !

La loi du 23 mars 2020 d’urgence pour faire face à l’épidémie de COVID-19[1] permet notamment au Premier ministre d’adopter par décret des mesures restrictives pour les libertés individuelles (limitation de la circulation des personnes, des rassemblements, etc.).

Des atteintes aux droits et libertés fondamentaux sont donc permises en vertu de ce régime exceptionnel, à condition d’être proportionnées au but recherché – délicat exercice d’équilibriste auquel devront se prêter les autorités publiques. Qu’en est-il du traitement des données personnelles, enjeu contemporain majeur ? À défaut de toute référence à cet égard dans la loi d’urgence, le droit commun en matière de protection des données personnelles s’applique.

Le Comité Européen de Protection des Données (CEPD) a identifié clairement, par le biais d’un communiqué de presse en date du 16 mars 2020[2], les intérêts en jeu et leur nécessaire conciliation dans ces circonstances inédites de pandémie :

« Le droit de la protection des données (dont le RGPD) n’empêche pas d’adopter des mesures pour lutter contre la pandémie du coronavirus. Toutefois, le CEPD souhaite rappeler que, même en ces temps exceptionnels, les responsables de traitement et sous-traitants doivent garantir la protection des données personnelles des individus (…)

Le RGPD est un texte complet qui prévoit également les règles à appliquer aux traitements de données personnelles dans une situation telle que celle liée au virus COVID-19 ».

Ainsi, le CEPD, garant européen de la bonne application du droit des données personnelles, envisage le RGPD comme suffisamment étayé et flexible pour fournir aux entreprises et aux autorités publiques les bases légales nécessaires, même dans un contexte inédit de pandémie mondiale, pour traiter de données sans le consentement des personnes. Selon le CEPD, il offre en conséquence en ces temps extraordinaires une certaine latitude aux responsables de traitement quant à la mise en œuvre de certains traitements de données tout en s’inscrivant strictement dans le cadre légal existant.

À cet égard, deux catégories de données doivent faire l’objet d’une attention particulière dans cette mise en balance des impératifs de santé publique et de la protection des données personnelles.

  • DONNÉES DE SANTÉ

La crise sanitaire actuelle révèle toute l’importance qu’un traitement de données de santé peut revêtir ; à titre d’exemple, de nombreuses entreprises se sont interrogées, aux premiers stades de la pandémie, quant à l’opportunité d’effectuer des relevés de température de tous les salariés et/ou visiteur amenés à pénétrer dans les locaux professionnels (ce afin d’en interdire l’accès aux personnes « fiévreuses »).

Par principe, tout traitement de données de santé, considérées comme « sensibles » au sens de l’article 9 du Règlement Général sur la Protection des Données 2016/679 (RGPD), est interdit à défaut de consentement de la personne concernées (sauf exceptions limitativement énumérées). La CNIL, dans une publication datée du 6 mars 2020[3], a ainsi procédé à une application stricte de ces dispositions, nonobstant la relative marge de manœuvre permise par le RGPD dans ce cadre telle que rappelée par le CEPD, en signalant aux employeurs l’interdiction de procéder au sein de leur entreprise à des relevés de température ou des collectes de questionnaires médicaux, ce malgré leur obligation légale d’assurer la sécurité des travailleurs[4].

Cette interdiction pourrait se révéler d’une excessive rigueur dans certains cas particuliers et soulève la question de la valeur juridique de la doctrine de la CNIL (publications sur son site web, lignes directrices, recommandations, etc.), soft law dénuée théoriquement de toute force contraignante (ainsi que l’affirment le Conseil d’État[5] et la CNIL elle-même[6]). Par exemple, un opérateur d’importance vitale pourrait-il démontrer à la CNIL que la collecte des températures de ses salariés est un prérequis pour les autoriser à intervenir sur un site stratégique ? La question est dès lors de déterminer si la CNIL devrait préciser systématiquement, au titre des garanties appropriées visées à l’article 58.4 du RGPD, l’existence du droit de faire valoir auprès d’elle les circonstances particulières susceptibles de rendre sa doctrine inapplicable.

Cette situation souligne la nécessite d’un cadre juridique clair permettant, dans certains cas spécifiques, de se détacher d’une application stricte systématique des recommandations de l’autorité et de faire valoir d’autres intérêts également légitimes. Dans le cas présent, la primauté à accorder à la santé des individus peut-elle en l’espèce justifier un traitement de données de santé, sur le fondement de l’exception prévu à l’article 9.2.i) du RGPD permettant de déroger au recueil du consentement pour des « motifs d’intérêt public dans le domaine de la santé publique » ? La question reste ouverte.

  • DONNÉES DE GÉOLOCALISATION

Ces données, particulièrement cruciales lors de mesures strictes de confinement, ne semblent pas être exploitées actuellement en France à des fins de contrôle, sauf anonymisation préalable ou consentement des personnes concernées. Une analyse massive de données utilisateurs permettrait pourtant aux pouvoirs publics de s’assurer du degré de respect des règles de confinement et d’adapter sa politique en la matière ; un projet de modélisation de la diffusion du virus sur cette base est en discussion au sein de la Commission européenne, sous l’égide du commissaire Thierry Breton. Néanmoins, dans le même temps, une rumeur selon laquelle les forces de l’ordre auraient verbalisé des individus en s’appuyant sur leurs relevés de course à pied partagés en ligne[7] a fait ressurgir, avec pertinence, la crainte d’une surveillance individualisée en marge du droit applicable.

Par ailleurs, de nombreux pays ont eu recours aux technologies de géolocalisation pour sauver des vies, en affinant leur connaissance des populations affectées : « en Corée du Sud et à Taïwan, la géolocalisation des téléphones portables a permis de remonter la piste des personnes contaminées, et de retrouver leurs contacts des jours précédents ».[8]

Le CEPD s’est positionné les 16 et 19 mars 2020 sur l’usage des données de géolocalisation. Il enjoint les autorités publiques à se baser, autant que possible, sur les données rendues anonymes et agrégées de manière à rendre impossible toute ré-identification, pour cartographier des niveaux de concentration d’appareils mobiles. Néanmoins, il rappelle que les États membres disposent, sur le fondement de l’article 15 de la directive ePrivacy[9], de la faculté de restreindre, par voie légale, les droits des individus (tels que la nécessité de recueil de leur consentement aux fins de traitement de leurs données de géolocalisation[10]) par exemple pour des motifs tenant à la sauvegarde de la sécurité publique. L’article L. 851-1 du Code de la sécurité intérieure, introduit par la loi dite « Renseignements » du 24 juillet 2015 et rendant accessibles aux services de renseignement des données utilisateurs liées aux communications électroniques, illustre cette possibilité.

En France, un amendement déposé par deux sénateurs lors de l’examen du projet de loi d’urgence, visant à autoriser à titre dérogatoire le traitement des données de santé et de localisation pendant six mois, « afin de faire face aux conséquences de l’épidémie », a été rejeté[11] ; mais la réponse politique est loin d’être aussi limpide.

Le ministre de la Santé Olivier Véran s’est personnellement dit défavorable au tracking de masse[12] et la ministre de l’Enseignement supérieur et de la Recherche Frédérique Vidal a réfuté le 24 mars « tout projet d’utilisation du numérique pour vérifier par exemple le respect des obligations de confinement »[13] ; Cédric O, secrétaire d’État au Numérique, indiquait quant à lui l’absence, pour le moment, de projet gouvernemental d’application numérique à base de données personnelles pour lutter contre la pandémie[14]. Néanmoins, des discussions en ce sens ont été engagées avec notamment l’Allemagne et le Royaume-Uni, et le comité analyse recherche et expertise (« CARE »), détaché auprès de la Présidence, s’est vu donner pour mission d’évaluer l’opportunité de mettre en place une stratégie numérique d’identification des personnes en contact avec des individus infectés (des opérateurs téléphoniques historiques, tels que Orange et SFR, ont d’ailleurs indiqué être prêts à partager avec les autorités des données de géolocalisation en masse).

Suite à la mise en place de ce comité à l’Élysée, la CNIL a formulé un certain nombre de recommandations le 25 mars 2020, dont Mediapart a pu prendre connaissance. Elle indique pour commencer que :

« Plusieurs scénarios (de traitement des données de géolocalisation) seraient envisageables, et les impacts sur les droits et libertés fondamentaux des personnes seraient fonction du type de traitement réalisé sur les données de localisation ».

À l’instar du CEPD, elle rappelle la flexibilité du cadre juridique actuel (directive ePrivacy et RGPD) permettant un traitement de cette typologie de données anonymisées ou assorties du consentement des personnes, mais précise qu’une intervention législative s’imposerait dans le cas où la France souhaiterait prévoir des modalités de suivi non anonyme plus poussées. Elle ne semble pas soutenir le recours aux articles L. 851-1 et s. du Code de la sécurité intérieure à cette fin.

L’hypothèse d’un recueil d’un consentement de l’individu au traitement de ses données de géolocalisation ne doit en tout état de cause pas être écartée. À titre d’exemple, l’application CoronApp, en cours de déploiement, devrait permet, sous réserve de consentement préalable, de retracer les déplacements de personnes infectées et d’avertir celles qui auraient croisé son chemin. Se pose alors les questions des modalités de recueil réel de ce consentement, de l’exhaustivité des informations communiquées à la personne concernée (conformément à l’article 13 du RGPD) et de la durée de conservation des données.

Ainsi, le cadre de droit commun en matière de protection des données personnelles au niveau européen, souvent jugé trop rigoureux par les responsables de traitement, démontre aujourd’hui qu’il sait répondre à une crise sanitaire grave. Cette souplesse, que lui reconnaît le CEPD, tranche avec la position rigoureuse des pouvoirs publics français. Cette approche stricte peut-elle être justifiée par le rapport singulier que la France entretient avec la protection des libertés individuelles fondamentales ? Quid, dans ce cas, des importants assouplissements dont sont sujettes les dispositions du Code du travail en vue d’absorber le choc économique lié au confinement ?

En tout état de cause, cette souplesse d’application du droit des données personnelles requiert impérativement une incontestable maturité des responsables de traitement, notamment dans la mise en œuvre effective des principes d’accountability et de privacy by design. Une fois cette maturité acquise, une nouvelle ère pourra prendre forme dans laquelle la technologie dans le traitement des données personnelles sera mise au service de la santé des citoyens tout en respectant les libertés individuelles auxquelles nous sommes tous profondément attachés. À nouveau, l’éthique est sollicitée au premier chef, y compris par les pouvoirs publics, pour accompagner les innovations technologiques et scientifiques.

 

[1] https://www.legifrance.gouv.fr/eli/loi/2020/3/23/PRMX2007883L/jo/texte
[2] https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_fr
[3] https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles
[4] Article L. 4121-1 du Code du travail
[5] Étude annuelle du Conseil d’État sur « Le droit souple » – https://www.conseil-etat.fr/ressources/etudes-publications/rapports-etudes/etudes-annuelles/etude-annuelle-2013-le-droit-souple
[6] https://www.cnil.fr/sites/default/files/atoms/files/projet_davis_cnil.pdf (page 7)
[7] https://www.20minutes.fr/societe/2743947-20200319-coronavirus-non-police-verbalise-sportifs-enfreignent-confinement-via-application-strava
[8] https://www.franceinter.fr/emissions/geopolitique/geopolitique-24-mars-2020
[9] Directive 2002/58/CE du 12 juillet 2002 (dite « vie privée et communications électroniques »).
[10] Idem – article 9
[11] http://www.senat.fr/encommission/2019-2020/376/Amdt_COM-57.html
[12] Séance de questions au Gouvernement – 24 mars 2020
[13] https://www.lefigaro.fr/flash-eco/coronavirus-et-donnees-personnelles-le-gouvernement-n-a-aucun-projet-d-application-assure-cedric-o-20200324
[14] Idem

Isabelle GAVANON

Avocate associée - Contrats informatiques
Isabelle Gavanon assiste et aide ses clients à gérer les risques juridiques associés aux projets de transition numérique grâce à des techniques contractuelles (implémentations et projets informatiques, de communications électroniques, internet ...) et à l’optimisation du statut de données, informations et créations (conformité RGPD, open data, preuve électronique, identité numérique, bases de données/droit d’auteur et contrefaçon, etc.). Une forte activité contentieuse complète cette pratique de conseil.

Voir toutes ces publications

Valentin LE MAREC

Avocat - Technologie de l’information
Valentin LE MAREC conseille et assiste ses clients dans tous leurs projets de transition et développement numériques, que ce soit en matière de protection des données (mise en conformité RGPD, gestion des cookies, précontentieux et contentieux CNIL, etc), de technologies innovantes (blockchain, intelligence artificielle) ou encore de valorisation de la propriété intellectuelle (droit d’auteur, marques, gestion des données).

Voir toutes ces publications
Échanger en live Contacts