Le Comité européen de la protection des données (CEPD), qui regroupe les Autorités de protection des données européennes, a délivré, le 21 avril 2020, ses lignes directrices sur l’utilisation des données de localisation et sur le contact tracing, afin d’établir des standards communs, dans l’ensemble des Etats membres de l’UE, en matière de protection de données dans le cadre de l’épidémie de Covid-19.
Bien évidemment, la meilleure solution pour lutter contre la propagation du Covid-19 et faire retour à une situation normale serait le développement d’un vaccin. Malheureusement, l’élaboration et la mise au point d’un vaccin prendre du temps. L’Organisation mondiale de la santé (OMS) a déclaré qu’il faudra au moins un an avant d’obtenir un produit utilisable à grande échelle.
D’autres instruments peuvent alors être utilisés par les Etats membres pour maitriser et juguler l’épidémie de Covid-19, qui peut se propager d’humain à humain très rapidement. D’où l’idée d’utiliser les applications mobiles de suivi des contacts pour sortir du confinement. En soi le contact tracing n’a rien de nouveau s’agissant d’une méthode sanitaire qui permet d’identifier toutes personnes ayant eu un contact rapproché ou durable avec une personne infectée.
Ce travail de recensement permet de remonter la chaine de transmission, d’alerter les personnes à risque, de détecter le Covid-19, de prendre en charge, le cas échéant, le patient atteint du virus et de l’isoler. Le contact tracing peut être mis en œuvre selon différentes façons :
- Le traçage de la population pourrait se faire par l’intermédiaire de personnels sanitaires. Mais cela risque de prendre beaucoup de temps et pour stopper une épidémie ainsi virulente comme le Covid-19, le temps est devenu précieux.
- Ou bien, un aide pourrait arriver par le développement d’applications de traçage numérique. Dans ce cas, l’utilisation de données de localisation (GPS) est fortement déconseillée par la Commission européenne puisqu’elle atteinte à la vie privée des citoyens de l’UE. Une bien meilleure solution, sur laquelle désormais existe un large consensus, est l’utilisation de la technologie Bluetooth – comme, par exemple, les applications mobiles de StopCovid, en France, et Immuni, en Italie – qui est moins intrusive au regard du droit à la protection de la vie privée puisqu’elle n’implique pas le traitement des données de localisation.
Le CEPD soutient le développement du dispositif de traçage numérique des contacts pour lutter contre le Covid-19 et aider les Etats membres de l’UE à gérer au mieux la période de déconfinement[1].
Il rappelle, d’abord, que le RGPD (Règlement général européen de la protection des données) et la Directive 2002/58/CE (dite directive e-privacy) prévoient déjà des normes permettant l’utilisation de données anonymes ou à caractère personnel pour des motifs importants d’intérêt public. En l’espèce, aider les gouvernements des Etats membres de l’UE à gérer l’état d’urgence sanitaire liée à l’épidémie de Covid-19 constitue une mission d’intérêt général.
L’utilisation de dispositifs de traçage numérique, dans le cas d’un contexte ainsi exceptionnel, doit se faire uniquement sur base volontaire, en assurant la plus grande transparence. Cela est indispensable pour garantir la confiance dans le dispositif de suivi des contacts et favoriser son adoption par une partie significative de la population européenne. Bien entendu, les mesures prises au niveau national ou au niveau européen sont temporaires, elles restent en vigueur jusqu’à la fin de la crise de Covid-19.
Le CEPD précise que le traitement des données personnelles doit s’inspirer des principes de nécessité, de proportionnalité et d’efficacité. Les données traitées doivent être anonymes et les atteintes à la vie privée des personnes doivent être proportionnées à l’objectif poursuivi.
Il en résulte que l’utilisation de ce dispositif de suivi des contacts doit remplir certaines conditions :
Le téléchargement et l’utilisation de l’application mobile ne doivent comporter que des identifiants uniques et des pseudonymes. Ces identifiants doivent être renouvelés à une fréquence compatible avec la finalité de contenir le virus et de limiter le risque d’identification et de géolocalisation des personnes.
Conformément au principe de minimisation du traitement des données, le dispositif de suivi des contacts ne doit pas collecter des informations non liées ou non nécessaires (comme par exemple des données personnelles, des identifiants de communication, des éléments du répertoire de l’appareil, des messages, des enregistrements d’appels, etc.) aux fins de la lutte contre la pandémie de Covid-19. Il doit plutôt se fonder sur des techniques cryptographiques spécifiques afin d’assurer le stockage, l’authentification, l’intégralité et la confidentialité des échanges.
Le serveur chargé de la centralisation des identifiants des personnes exposées au Covid-19 doit adopter des mesures de sécurité organisationnelles et techniques de très haut niveau afin d’assurer la protection des données des personnes concernées.
Le signalement des utilisateurs exposés au Covid-19 sur l’application mobile doit être soumis à une autorisation, en utilisant par exemple un code à usage unique. Si la confirmation ne peut pas être obtenue de manière sécurisée, aucun traitement de données ne doit pas avoir lieu.
gp@giovannellapolidoro.com
________________________________________________________________________________
[1] Il est possible de retrouver les recommandations du CEPD sur le site : www.edpb.europa.eu.