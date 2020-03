Comme d'autres pays, la France envisage le pisatge numérique pour lutter contre la propagation du coronavirus. — Pexels / Pixabay

Le gouvernement se penche sur la mise en place d’un traçage numérique des citoyens français, qui pourrait potentiellement utiliser des données de localisation et de santé.

En cette période de pandémie mondiale, les exceptions prévues par la RGPD pourraient permettre cette collecte illégale en temps « normal ».

Plusieurs pays européens et d’Asie ont enclenché ce pistage numérique sous diverses formes, alors que la France n’a pas encore choisi son option.

Les données personnelles des Français exploitées en toute légalité ? Depuis un peu plus de 24 heures, un nouveau comité de douze chercheurs et médecins a été installé par l’Elysée. En plus de conseiller le gouvernement sur les traitements et les tests contre le coronavirus, il doit donner son avis sur « l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées ».

Contacté par 20 Minutes, le secrétariat d’Etat chargé du Numérique a répondu qu’il n’était pas en mesure pour l’heure de donner plus de précisions sur les contours de ce « backtracking », comme le nomme l’Elysée. Cependant, la France n’étant pas la première à se pencher sur la nécessité du traçage numérique, un rapide coup d’œil sur ce qui se fait dans certains pays permet de nous donner une petite idée.

Les règles de protection allégées

En Allemagne, en Autriche, en Italie ou encore en Espagne, les opérateurs de téléphonie mobile ont accepté, avec l’arrivée du coronavirus, de partager les données de localisation des usagers aux autorités. Une pratique possible notamment grâce au bornage téléphonique, qui permet d’indiquer la présence d’un téléphone à une heure donnée à proximité d’une antenne relais. Ces données, anonymisées, sont censées aider les gouvernements à observer si la population respecte le confinement ou encore de cartographier les concentrations et les mouvements des clients dans les zones à risque par exemple.

Un traçage ouvertement accepté par le Comité européen de la protection des données (CEPD). Dans un communiqué du 19 mars, il indique que « le RGPD permet aux autorités sanitaires compétentes de traiter des données personnelles dans le contexte d’une épidémie ». Il est donc possible de traiter les informations anonymisées liées à la location des téléphones, par exemple.

Analyse de données de santé en prime

Dans le cas de la France, il n’est pas seulement question d’analyser des données de flux. L’Elysée réfléchir à l’opportunité « d’identifier les personnes en contact avec celles infectées par le virus du Covid-19 » grâce au numérique. « Mais si on doit savoir qui a été en contact avec des gens porteurs du virus, cela implique forcément que l’on utilise, en plus des données de géolocalisation, des données de santé », indique à 20 Minutes Zoé Vilain, avocate au barreau de Paris et experte en droit des données personnelles.

La méthode est déjà appliquée en Chine où, pour circuler dans certains endroits, les citoyens doivent présenter leur « QR Code médical » via l’application Alipay Health Code. La plateforme utilise les données de l’utilisateur pour évaluer, via un code couleur, le risque qu’un individu soit porteur du virus. En Israël, le service de sécurité intérieure est quant à lui autorisé depuis le 16 mars à pister pendant trente jours la géolocalisation des téléphones de personnes infectées.

Les exceptions de la RGPD

En France, cette pratique est loin de faire l’unanimité du côté des défenseurs des droits fondamentaux. Les données de santé sont protégées par la loi dite « informatique et liberté » de 1978, qui pose un cadre très strict. Cependant, la situation de pandémie mondiale pourrait permettre de faire sauter quelques barrières.

Concernant les données relatives à la santé, l’article 9 du RGPD interdit leur traitement. Un second paragraphe liste cependant les situations dans lesquelles cette règle ne s’applique pas, comme lorsque « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé. »

« On ouvre la boîte de pandore »

« Avec la pandémie actuelle, on rentre facilement dans ces exceptions prévues par la RGPD, donc c’est possible que cela passe », assure l’avocate Zoé Vilain, qui rappelle que la France se trouve à présent dans un « état d’urgence sanitaire » qui restreint les libertés fondamentales. Et de poursuivre : « Le problème, c’est qu’à partir du moment où l’on autorise les autorités à regarder les données de santé, on ouvre la boîte de Pandore, dans le sens où on ne sait pas comment vont être utilisées ces données. Qu’est ce qu’on imposera aux gens ayant été en contact avec des personnes malades ? Combien de temps va-t-on garder ces données et les utiliser ? »

L’experte, qui n’est pas contre l’analyse de données pour lutter contre la pandémie, estime qu’un contexte de crise ne justifie pas de bafouer les droits fondamentaux des citoyens. « Chaque article du RGPD précise bien que la mesure prévue doit être proportionnée au but visé et limité dans le temps. » Cette réglementation reste supérieure au droit français, mais d’éventuels recours prendront du temps, explique l’avocate. Zoé Vilain déplore que le comité scientifique ne compte pas, par exemple, un ou une juriste spécialisée dans les libertés fondamentales.

Appli ou pas appli ?

En France, le secrétaire d’Etat au Numérique, Cédric O, a déclaré à l’AFP que « des contacts sont en cours » avec les « nombreux pays » tels que l’Allemagne, le Royaume-Uni ou Singapour, qui « ont entrepris de développer des applications numériques destinées à combattre la propagation de l’épidémie », mais qu’« aucune initiative plus avancée n’a à ce stade été prise par le gouvernement ».

Indépendamment des décisions des Etats, certaines entités ont déjà créé des applications mobiles mêlant collecte de données de santé et localisation. L’agence web française ITSS a par exemple lancé l’application CoronApp, sur laquelle les utilisateurs peuvent indiquer, justificatif médical à l’appui, qu’ils sont porteurs du coronavirus. S’ils croisent ou ont croisé la route d’autres utilisateurs non contaminés, ces derniers reçoivent une notification avec la date et de l’heure à laquelle le contact a eu lieu, mais pas le nom de la personne. Contrairement à ce qui se fait en Chine, l’appli est donc basée sur le volontariat.