De nombreuses publications spécialisées ont récemment relayé les mesures prises à l’étranger pour endiguer la propagation du Coronavirus et notamment le recours à la géolocalisation des citoyens.
Une pratique en voie de généralisation dans le monde
La Chine utilise le panel complet des possibilités technologiques à sa disposition pour contrôler l’application des mesures d’endiguement du Coronavirus (COVID-19) :
- vérification du port du masque par drone et caméras de reconnaissance facial,
- application de géolocalisation du déplacement des citoyens,
- scanner à distance pour détecter la fièvre .
Si de telles mesures, très invasives, n’étonnent pas du côté de l’Empire du Milieu, il est inédit en revanche que les Etats-Unis et d’autres pays occidentaux (Autriche, Allemagne, Italie) aient mis en place de telles mesures.
Sur la recommandation de scientifiques, Les autorités américaine seraient en pourparlers avec des entreprises comme Facebook et Google, afin d’avoir accès aux données de géolocalisation des abonnés mobiles.
Si outre -atlantique les discussions évoquées portent sur des données anonymisées, en Israël ou ce procédé est déjà à l’œuvre, les services de sécurité intérieur peuvent retracer le parcours d’individus infectés et identifier les personnes avec qui ils ont été en contact.
Elles permettent notamment de mesurer le respect des normes de distanciation sociale.
Si la mise à contribution des nouvelles technologies et notamment de l’intelligence artificielle pour enrayer la propagation du virus est bienvenue, l’exploitation de données de géolocalisation et plus encore leur recoupement avec des données de santé, est cependant susceptible de porter une atteinte importante aux droits des citoyens et notamment au droit à la vie privée.
Le cadre juridique en Europe et en France : l’exigence du consentement
Dans l’Union Européenne, la géolocalisation d’un terminal permettant d’être rattaché à une personne physique et de l’identifier est considérée comme une donnée à caractère personnelle, entrainant l’application du règlement général sur la protection des données ( règlement (UE) 2016/679 dit « RGPD »).
Le règlement et toutes ses dispositions s’appliquent à un traitement de cette nature qui devrait par conséquent répondre tant à l’exigence de licéité posée à l’article 6, que, pour le cas ou des données de santé seraient concernées, aux conditions définies à l’article 9.
A ces dispositions générales s’ajoutent celles, spécifiques à la protection de la vie privée, définies par la directive 2002/58/CE (dite « ePrivacy »).
Celle-ci distingue deux types de données de géolocalisation :
- les données relatives au trafic, qui permettent uniquement la transmission des communications et la facturation, et qui sont traitées par le fournisseur d’accès à internet ;
Elles doivent être effacées ou anonymisée dès que leur traitement n’est plus nécessaire.
- celles, plus précises, qui permettent la fourniture de services personnalisés à valeur ajoutée, (guidage des conducteurs,…) qui supposent impérativement le recueil du consentement de l’utilisateur, qui doit de surcroît pouvoir être retiré à tout moment.
C’est cette deuxième catégorie de données qui intéresse les autorités dans le cadre de la lutte contre la pandémie de COVID-19.
En France, l’article L34-1 V du Code des postes et communication électroniques, qui résulte de la transposition de la directive par une loi de 2004, rappelle la nécessité du consentement.
L’exception prévue par la Directive : la sécurité publique et la sûreté de l’Etat
L’article 15 1) de la directive précise que les Etats peuvent limiter les droits et obligations (y compris celle de recueillir le consentement) lorsqu’ une telle limitation constitue « une mesure nécessaire, appropriée et proportionnée au sein d’un société démocratique » , pour notamment sauvegarder la sécurité publique.
Dans un communiqué de presse récent, le Comité Européen à la Protection des Données (« CEPD » l’autorité de régulation qui chapeaute des « CNIL » européennes) a indiqué que la sauvegarde de la santé publique dans le contexte du COVID-19 entrait dans la notion de sécurité publique et pouvait donner lieu aux pratiques de géolocalisation.
Il rappelle néanmoins la nécessité de traiter les données de manière anonymisée dans la mesure du possible.
Le nécessaire vote d’une loi par le parlement français
Même autorisée par le législateur européen la mise à contribution des fournisseurs d’accès à internet pour des raisons de sécurité publique suppose en France, l’adoption d’une loi par le parlement.
Celle-ci devra en outre définir les conditions dans lesquelles la transmission et effectuée, établir un équilibre entre l’objectif poursuivi d’endiguement de la pandémie et le respect des droits et libertés des citoyens.
Le CEPD rappelle d’ailleurs que toute législation en ce sens devra prévoir notamment un droit au recours juridictionnel.
Deux sénateurs membres du groupe « Les Républicains », ont déposé le 19 mars 2020 un amendement dans le projet de loi concernant la lutte contre le coronavirus, visant à « faciliter les procédures imposées aux opérateurs dans la collecte et le traitement des données de santé et de localisation pendant une durée de 6 mois».
Cet amendement vient d’être rejeté par l’assemblée nationale et les opérateurs français ne seront donc pas contraints de partager leurs données.