Coronavirus : « Les applications de “contact tracing” appellent à une vigilance particulière »
►https://www.lemonde.fr/pixels/article/2020/04/05/coronavirus-les-applications-de-contact-tracing-appellent-a-une-vigilance-pa
Pour Marie-Laure Denis, la présidente de la Commission nationale de l’informatique et des libertés (CNIL), « ne doivent être collectées que les données nécessaires à des finalités explicites ».
Dans de nombreux pays, les initiatives destinées à utiliser les données personnelles pour lutter contre la pandémie de Covid-19 se multiplient. En France, l’un des comités scientifiques établis par l’Elysée doit réfléchir à « l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées ». Marie-Laure Denis, la présidente de la Commission nationale de l’informatique et des libertés (CNIL), l’autorité française de protection des données, explique quels sont les principaux points de vigilance pour limiter le potentiel intrusif de tels dispositifs.
La CNIL a-t-elle été saisie par le gouvernement d’un projet en lien avec la pandémie ?
Non. La CNIL se tient à la disposition des pouvoirs publics. Nous voulons faire preuve de pragmatisme tout en favorisant les éventuelles solutions les plus protectrices de la vie privée. Une de nos priorités, c’est d’être en phase avec la réalité du contexte sanitaire, afin de pouvoir apprécier si les mesures mises en œuvre sont proportionnées. Le collège de la CNIL a ainsi auditionné le 31 mars le président du comité scientifique, le professeur Jean-François Delfraissy.
Que signifie le pragmatisme que vous évoquez ? Une lecture moins stricte des textes ?
Aujourd’hui, le cadre réglementaire de l’Union européenne en matière de protection des données est à la fois souple et protecteur, et permet de tenir compte de situations d’urgence comme celle que nous traversons. Il exige néanmoins des garanties fortes. Si nous parlons de suivi individualisé des personnes, il y a deux solutions. La première, c’est que ce suivi repose sur le volontariat, c’est-à-dire le consentement libre et éclairé. Il ne faut pas qu’il y ait des conséquences pour celui qui refuserait de télécharger une application, par exemple.
Il faut aussi qu’il respecte les principes de la protection des données : proportionnalité [que les dommages à la vie privée soient à la hauteur de l’efficacité du dispositif], durée de conservation, caractère provisoire, sécurité… Dans ce cas, il n’y a pas besoin de disposition législative. Pour le suivi individualisé des personnes qui ne reposerait pas sur le consentement, il faudrait, d’une part, une disposition législative et, d’autre part, que le dispositif soit conforme aux principes de la protection des données.
Avez-vous des inquiétudes sur ce type de projets ?
Il nous faut être particulièrement vigilants pour limiter leur potentiel intrusif. D’abord, ne doivent être collectées que les données nécessaires à des finalités explicites. S’agit-il d’informer celles et ceux ayant été en contact avec une personne porteuse du virus ou de vérifier le respect du confinement ? Il faut aussi respecter le principe du consentement. Les modalités techniques des dispositifs doivent, par ailleurs, être minutieusement analysées, parce qu’elles ont une incidence sur la protection de la vie privée. Il faut enfin que ce soit temporaire, c’est un point essentiel. Tout dispositif visant à limiter de manière importante et durablement la protection des données des individus pourrait, selon la situation, constituer une ligne rouge à ne pas dépasser.
Que pensez-vous des projets d’applications de suivi des contacts qui enregistrent la liste des autres applications à proximité, afin qu’en cas de diagnostic positif, on puisse avertir tous les contacts d’un malade donné ?
Il faut se garder de penser qu’une application va tout résoudre, même si les nouvelles technologies peuvent contribuer à une sortie sécurisée du confinement, dans le cadre d’une réponse sanitaire plus globale.
Les dispositifs doivent intégrer le droit des personnes à leur vie privée, pas seulement pour respecter l’Etat de droit, mais aussi parce que c’est un gage de confiance, sans lequel les utilisateurs potentiels de ces technologies seront peu disposés à les adopter. S’agissant des applications de contact tracing, elles appellent à une vigilance particulière, car leur incidence sur le respect de la vie privée est très variable.
Une application utilisant la technologie Bluetooth, pour détecter si un autre téléphone équipé de cette même application se trouve à proximité immédiate, apporte davantage de garanties qu’une application géolocalisant précisément et en continu.
D’une façon générale, il faut privilégier les solutions qui minimisent la collecte des informations, par exemple en utilisant un identifiant plutôt que des données nominatives. Les solutions doivent aussi privilégier le chiffrement de l’historique des connexions et le stockage des données sur un téléphone, plutôt que de les envoyer systématiquement dans une base centralisée.
Un élément déterminant pour l’appréciation que le collège de la CNIL pourrait porter sur un tel dispositif, outre l’assurance de son caractère provisoire, serait le recueil d’un consentement libre et éclairé de l’utilisateur. A ce jour, en France, les pouvoirs publics, lorsqu’ils ont évoqué une réflexion sur des dispositifs de suivi numériques, ont exclu que leur éventuelle mise en œuvre se fasse sur une autre base que le volontariat.
