COVID-19 et tracking citoyen : quels risques pour notre vie privée ?
Pour tenter de limiter la propagation du virus COVID-19 et se préparer au déconfinement, des gouvernements envisagent, ou ont déjà recours, aux solutions numériques.
On peut distinguer deux types d’approches : le contact tracing (ou social tracing) et le tracking.
Le tracking
Il s’agit de suivre en continu des personnes en ayant recours à des technologies comme la géolocalisation, les caméras intelligentes et la reconnaissance faciale.
Dans son utilisation la plus intrusive, le tracking a été imposé par certains gouvernements pour contrôler le respect des mesures prises par les gouvernements concernant le confinement ou la distanciation sociale. Il ne s’applique donc pas sur base volontaire (consentement) et la finalité du traitement est le contrôle, la surveillance. Il est notamment utilisé à cette fin dans certains pays d’Asie.
D’autres pays utilisent des données de localisation et les agrègent pour planifier des besoins sanitaires, par exemple pour cartographier la propagation du virus et l’efficacité des mesures. L’agrégation des données ne permet pas d’identifier les personnes auprès desquelles les données ont été collectées et ces données ne sont plus considérées comme des données personnelles au sens du RGPD (Règlement général sur la protection des données). C’est le cas notamment des données transmises par les opérateurs télécoms sur leurs clients à l’Etat en Belgique ou en France pour évaluer l’efficacité des mesures de confinement.
Le contact tracing
Le suivi de contacts a pour objectif d’informer les personnes exposées à des risques sanitaires suite aux contacts qu’ils ont eus avec des personnes diagnostiquées (même ultérieurement) COVID-19.
Comment fonctionne ce type d’application ? Sur base des technologies intégrées dans votre smartphone, par exemple bluetooth pour un projet mené par Google et Apple, l’application enregistre les identifiants anonymes de personnes avec qui vous avez eu un contact de proximité. Lorsqu’une personne est diagnostiquée positive au COVID-19, elle peut l’indiquer dans l’application qui avertit les utilisateurs avec qui elle a été en contact « rapproché », du risque de contamination et les invite à se faire dépister, sans leur divulguer l’identité de leur contact contaminé.Exemple du projet de plateforme porté par Google et Apple :
Contrairement au tracking, cet exemple d’app de contact tracing ne nécessite pas d’enregistrer la localisation de personnes. Ce n’est que lorsqu’elles se déclareront infectées que leurs identifiants anonymes seront enregistrés sur un serveur pour permettre à la plateforme de notifier les utilisateurs qui risquent d’avoir été contaminées par ces persones.
D’autres applications utilisant le contact tracing peuvent être plus intrusives et aller plus loin dans l’analyse de risques en combinant différentes sources de données (réseaux sociaux, données bancaires, données des douanes, résultats de tests et diagnostics médicaux, …).
Les bases légales applicables aux citoyens de l'UE
Les données de localisation (tracking) des citoyens européens ne peuvent être traitées qu’avec l’accord préalable des personnes concernées, c’est-à-dire un consentement libre et éclairé.
La directive européeene « e-privacy » autorise néanmoins les états membres à utiliser les données de localisation qui peuvent être fournies par les opérateurs télécom, sans consentement préalable des personnes concernées, si elles sont traitées pour une mission d’intérêt public, si elles sont anonymisées et si le traitement dispose d’un cadre législatif.
Dans son avis du 14 avril 2020, l’EDPD (Comité Européen de la Protection des Données) recommande que les traitements de données réalisés par des applications de contact tracing reposent sur l’intérêt public comme base légale mais recommande d’obtenir l’accord préalable des utilisateurs. L’utilisation de cette application peut être encouragée par les États membres, mais les citoyens ne devront subir aucune atteinte à leurs droits et libertés s’ils n’utilisent pas ce type d’application.
Ce fondement légal ne sera légitime que pour la durée nécessaire à la gestion de la pandémie. Si la pandémie s’arrête, les traitements ne pourront plus reposer sur cette base légale pour être conformes au RGPD.
Le principe de minimisation
Conformément au RGPD, les applications qui traitent des données personnelles doivent démontrer qu’elles s’en tiennent aux données strictement nécessaires à l’objectif annoncé. Certaines autorités de contrôle, dont la CNIL en France, ont consulté des experts de la pandémie afin d’être en mesure de les identifier et d’éviter de prendre des risques injustifiés.
La sécurité des données
Plus les données traitées par ces applications sont nombreuses et sensibles (données de santé), plus le RGPD requiert une analyse de risques poussée et des mesures de sécurité adéquates pour garantir l’intégrité, la confidentialité et la disponibilité des données.
Le traitement de données non agrégées de tracking de citoyens européens et le stockage de données relatives à leur santé nécessiteront de documenter une analyse de risque (AIPD) et de mettre en place des mesures de sécurité drastiques pour éviter la violation de données.
La durée de conservation des données personnelles stockées ne pourra dépasser la durée nécessaire à la finalité du traitement. Il est évident que plus celui-ci sera court, plus l’impact sera limité en cas par exemple de fuite de données.
Christophe Canavese – Managing Director CTI Consulting
Professionnel certifié en protection de la vie privée (CIPP/E)