Covid 19 et RGPD : Ne sacrifions pas notre vie privée !
On le sait — et l’Histoire nous l’apprend ! — les périodes de crise et de danger favorisent rarement le bien-être de nos libertés et de nos droits. Ces situations exceptionnelles, et leur cortège de mesures exceptionnelles sont hélas trop souvent des occasions de chute.
Du Patriot Act à la Loi du 24 juillet 2015, relative au renseignement, les formes juridiques d’exception sont toujours regrettées a posteriori — si tant est qu’elles aient eu une quelconque vertu face aux circonstances au vu desquelles elles ont été prises!… Elles le sont d’autant plus que, par un effet dit de cliquet, bien connu des économistes, il est extrêmement difficile, une fois les beaux jours revenus, de défaire l’appareil d’Etat — ou l’entreprise — des mauvaises habitudes qu’on lui a laissées prendre en temps de crise.
Adopté au lendemain des attentats du 11 septembre, le tristement célèbre Patriot Act sert ainsi toujours de fondement à l’exploitation massive, « en vrac », des données personnelles des européens par la NSA (« National Security Agency ») — les prérogatives de cette autorité ayant même été augmentées dernièrement, comme je l’avais d’ailleurs précédemment rappelé au sujet des questions posées par l’équation transatlantique RGPD-Cloud Act.
La crise du Covid 19 aura-t-elle raison du droit à la protection de nos données personnelles? L’Histoire nous le dira! Toutefois, l’actualité nous permet déjà de formuler certaines observations, et d’exprimer certaines craintes.
Grandeurs et servitudes du télétravail
L’intrusion de l’employeur dans le cadre domestique
Tout d’abord, la généralisation du télétravail, si elle répond, certes, à une aspiration profonde de notre société, à une meilleure conciliation entre vie personnelle et vie professionnelle, se traduit aussi par une immixtion inquiétante de l’entreprise dans notre vie privée.
A ce sujet, si la CNIL n’a pas manqué de formuler des recommandations à l’attention des salariés, sur la mise en œuvre des solutions de télétravail, notamment au regard des risques informatiques et du hameçonnage, l’on ne peut que regretter l’absence de recommandations fermes adressées aux entreprises à ce même sujet — les recommandations de la CNIL aux entreprise concernent actuellement surtout le contrôle des malades sur le lieu de travail.
La mise en place forcée du télétravail s’est, il faut le reconnaître, bien souvent traduite par un bricolage hâtif dans l’oubli complet des règles les plus élémentaires en matière de protection des données personnelles.
Toutefois, il est, plus encore, à craindre que les entreprises profitent du développement des solutions techniques de télétravail pour étendre encore davantage leur emprise, et instituer une surveillance des salariés à leur domicile. A ce titre, nul besoin, d’ailleurs de recourir aux méthodes les plus grossièrement illégales… la simple présence de l’employeur dans l’espace dédié à la vie privée du salarié constitue, par elle-même, une intrusion, lourde de conséquences symboliques.
Une intrusion aggravée par le devoir de surveillance de l’employeur
Cela est d’autant plus le cas que l’employeur a légalement un devoir de surveillance de son salarié, et est pénalement responsable des agissement de ce dernier, dans le cadre de son activité professionnelle. A ce titre, le droit existant n’est pas nécessairement très protecteur pour le salarié.
L’inévitable irruption du « backtracking » médical …
Les recommandations de la CNIL et du COMITé eUROPéen
L’une des principales menaces que fait peser la crise actuelle du Covid 19 sur le respect du droit à la vie privée et la protection des données personnelles est, sans nul doute, de l’introduction imminente, quasiment inévitable, d’un « backtracking » généralisé des malades et des cas-contact, via une application ad hoc, dont nous aurons l’occasion de découvrir le nom dans les jours qui viennent…
Rappelons à ce sujet que plusieurs solutions sont à l’étude.
Dans le sillage de la loi d’urgence sanitaire du 23 mars dernier, le gouvernement a institué un comité dénommé «Analyse, recherche et expertise » constitué d’experts, et destiné à répondre à cette question. La CNIL lui a aussitôt adressé des recommandations confidentielles, lesquelles n’en ont pas tardé à fuiter via Médiapart… La CNIL y donne son feu vert à la transmission, par les opérateurs de téléphonie, des données de géolocalisation de leurs utilisateurs, en vue de leur exploitation, dans un premier temps, sous une forme uniquement agrégée de données anonymes — c’est cet usage préliminaire qui nous a d’ailleurs permis d’apprendre que 1,2 million de franciliens s’étaient déplacés vers la province à la veille du confinement. Ensuite, la CNIL n’oppose pas de fin de non recevoir catégorique à un traçage individuel des utilisateurs, conseillant toutefois au gouvernement de recourir pour cela à une loi, et lui adressant les mises en garde d’usage relative à la nécessité de respecter les principes de proportionnalité et de minimisation.
En cela, la CNIL ne fait que reprendre le raisonnement développé par le Comité européen de la protection des données (CEPD), — organisme qui succède au G 29 —, dans sa déclaration du 19 mars dernier, relative au traitement des données personnelles dans le contexte du Covid 19.
La piste du bluetooth et ses limites
Au niveau européen, un comité de 130 experts, le PEPP-PI (Pan-European Privacy Preserving Proximity Tracing) » annonce également avoir développé une application qui fonctionnerait via le Bluetooth, sans géolocalisation systématique — uniquement en alertant l’utilisateur ayant été en contact avec un cas avéré.
Si la solution Bluetooth paraît à première vue moins attentatoire au droit à la protection des donnée personnelles, celle-ci offre néanmoins les moyens d’une géolocalisation beaucoup plus fine que les données fournies par les téléopérateurs, ce qui permet d’imaginer le résultat de la combinaison des deux technologies (exploitation conjointe des données des clients des téléopérateurs et de leurs historiques Bluetooth… ).
… et ses conséquences sur notre droit (et nos vies)
La compatibilité du « backtracking » médical avec les dispositions du RGPD…
Il n’a échappé à personne que, dans de nombreux pays, la lutte contre la pandémie a pris la forme d’une exploitation massive des données personnelles: Japon, Corée, Taïwan, Suisse, Israël, … mais aussi dans l’Union européenne: Pologne, Italie, Belgique…
Dans l’Union européenne, un tel usage soulève donc une question fondamentale : l’exploitation des données de géolocalisation des malades du Covid 19 et des cas-contact est-elle conforme aux dispositions du RGPD?
Contrairement à ce que l’on pourrait être amené à croire, le traitement à grande échelle des données de géolocalisation des européens, sans leur consentement, aux fins d’identifier les malades du Covid 19 et des cas contact, n’est aucunement contraire à la lettre du RGPD. C’est là d’ailleurs ce qu’affirme le Comité européen de la protection des données dans sa déclaration dont il a été précédemment question.
A ce titre, il est intéressant d’observer que dans le considérant (46) de son exposé des motifs, le RGPD avait anticipé la situation actuelle, en mentionnant la lutte contre les épidémies et leur propagation, comme un motif d’intérêt public permettant, conjointement avec la sauvegarde des intérêts vitaux des personnes concernées, de fonder légalement le traitement de données personnelles, indépendamment de tout consentement (voir article 6.1. d° et e° du RGPD):
« Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine ».
RGPD, (46) de l’exposé des motifs
En ce qui concerne plus spécifiquement la question des données de santé — rappelons que le simple fait de savoir qu’une personne physique a été contaminée par le Covid 19 constitue évidemment une donnée de santé, voir à ce sujet l’affaire Lindqvist —, il faut également rappeler que le RGPD a, dans le même esprit, étendu la possibilité de traiter de telles données personnelles sensibles, hors consentement des intéressés, au situations fondées sur des motifs d’intérêt public, tels que la protection contre les menaces transfrontalières graves pesant sur la santé (article 9.2. i° du RGPD) — point que j’avais d’ailleurs relevé dans un article précédent sur Le RGPD et le secret professionnel —. Là encore, pour le Comité européen, cette base légale peut se cumuler avec la sauvegarde des intérêts vitaux des intéressés (article 9.2. c° du RGPD) pour fonder le traitement des données de santé.
… et de la directive e-privacy
De son côté, la directive e-privacy — qui, on le rappelle, assure le respect du droit à la vie privée par les services de communication électronique et de télécommunication — ne s’oppose pas davantage au « backtracking », puisque son article 15.1 permet aux téléopérateurs de déroger au principe de la confidentialité des communications, et de transmettre les données de géolocalisation des terminaux de leurs utilisateurs (smartphones, tablettes, ordinateurs), lorsqu’une telle mesure est nécessaire, appropriée et proportionnée, au sein d'une société démocratique, pour sauvegarder la sécurité nationale - c'est-à-dire la sûreté de l'État - la défense et la sécurité publique.
Rappelons qu’en France, depuis la loi du 24 juillet 2015 relative au renseignement, l’article L. 811-3 du code de la sécurité intérieure permet déjà ce type la communication aux fins de garantir l’indépendance nationale, l'intégrité du territoire et la défense nationale, ainsi que les intérêts économiques, industriels et scientifiques majeurs de la France.
C’est d’ailleurs cela qui a poussé l’association La Quadrature du net a prendre position contre la possible extension, par la loi, — suite aux propositions du Comité européen et de la CNIL précédemment exposées — de cette hypothèse de dérogation au secret des communications, au cas des épidémies, dans la mesure où le cadre juridique actuel tenant à la défense des intérêts économiques de la France — bien que déjà discutable — pourrait être suffisant.
Un risque majeur de détournement de finalités
Pour l’association La Quadrature du net, l’exploitation, à grande échelle, par les services de l'Etat, et, a fortiori via une application dédiée, de l’ensemble des données de géolocalisation des français, permettant d’identifier les malades du Covid 19 et les cas contact est porteuse d’un risque élevé de détournement de finalités — un jeu de données personnelles ne doit pas être traité en vue de finalités qui ne seraient pas compatibles avec celles en vu desquelles lesdites données ont été collectées.
En effet, une fois la crise du Covid 19 passée, les services de police, ou les grandes entreprises, pourront être tentés d’user des données ou simplement des méthodes — par exemple le croisement des données bluetooth et des données de géolocalisation — mises en œuvre à cette occasion à d’autres fins que les finalité initiales de santé publique: lutte contre le terrorisme, espionnage industriel, ingénierie sociale, crédit social etc...
De plus, quelle garantie peut-on avoir que l’application développée à cette occasion sera effectivement démantelée, ainsi que toutes les informations que celle-ci aura collectées supprimées? Au contraire, l’utilité de celle-ci pourra encore être mise en avant dans l’hypothèse d’une nouvelle vague de Covid 19, ou bien d’une nouvelle épidémie, tout autre, mais qui nécessitera elle-aussi des mesures de quarantaine.
Dans une interview du 23 mars dernier, accordée à un média danois, le célèbre lanceur d’alerte Edward Snowden met précisément en garde les européens contre les risques élevés de dérive inhérents à la mise en place d’un tel système de surveillance des populations.