Suite et fin de la tribune de Zoé Vilain (Avocate associée du cabinet 1862 Avocats et présidente Europe et responsable de la protection des données personnelles de Jumbo Privacy, une application mobile qui permet aux utilisateurs de regagner le contrôle de leur données)
Le gouvernement envisagerait désormais un contrôle massif des données de santé des Français notamment grâce aux pratiques de « #backtracking » permettant d’identifier non seulement les personnes atteintes du #Covid-19, mais également les personnes en contact avec celles-ci.
Ce contrôle massif reviendrait à une véritable stratégie numérique d’identification des personnes en raison de leurs données de santé. Les #données_de_santé font l’objet d’une protection particulièrement renforcée depuis la création de textes juridiques portant sur la protection de la vie privée et des données personnelles en étant classée comme données dites « sensibles », depuis l’origine.
Cette protection dans les textes, nécessaire notamment pour que tout individu atteint d’une pathologie, puisse vivre une vie normale, s’illustre par l’interdiction de tout traitement des données de santé relatives à personne identifiée ou identifiable, et leur commercialisation, selon l’article 9 du Règlement général sur la protection des données (RGPD).
La tentation d’exploiter les données de santé des citoyens
Le RGPD prévoit cependant quelques exceptions à cette interdiction, qui pourrait servir de base à cette stratégie numérique d’identification des personnes. En effet, il prévoit que les traitements de données personnelles de santé peuvent être autorisés si le traitement est nécessaire pour des motifs d’intérêt public à condition que la règle de droit prévoyant ce traitement soit proportionnée à l’objectif poursuivi, respecte l’essence du droit à la protection des données et prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée (article 9.2).
Cette obligation est notamment rappelée dans un communiqué du Comité européen de la protection des données du 19 mars 2020 portant « Déclaration sur le traitement des données personnelles dans le contexte de l’épidémie de Covid-19 ». La tentation d’exploiter les données de santé des citoyens est grande en période de crise sanitaire comme la nôtre, surtout au vu des outils technologiques à disposition en 2020.
Article réservé à nos abonnés Lire aussi Coronavirus : «
La Chine aurait endigué une grande partie du virus en contrôlant de manière systématique les données mobiles de ses citoyens, notamment en obligeant les personnes à préciser leur température et leur état de santé, en utilisant les caméras de vidéosurveillance pour traquer avec qui les personnes auraient pu être en contact. Des applications auraient même pu être utilisées pour vérifier la proximité de ces personnes, avec des personnes infectées. Les citoyens chinois seraient maintenant classifiés selon trois couleurs indiquant leur risque de contamination : rouge, jaune et vert.
Pas au détriment du respect des libertés fondamentales
La Chine n’est pas la seule à avoir mis ce genre de contrôle en place. L’Italie, Israël, la Corée du Sud mettraient en place des contrôles massifs afin de surveiller l’expansion du virus dans leur territoire grâce à l’exploitation des images de #vidéosurveillance, des données de #géolocalisation et les #données_bancaires, pour contrôler les mouvements de leur population.
Le Royaume-Uni serait en négociation avec Google, qui fait l’objet de plusieurs plaintes pour violation du RGPD devant l’Information Commissioner’s Office (ICO), l’équivalent britannique de la Commission nationale de l’informatique et des libertés (CNIL), pour avoir accès aux données de localisation des Anglais, afin de contrôler le respect du confinement.
Emmanuel Macron a annoncé le 24 mars avoir créé un comité d’analyse, de recherche et d’expertise (CARE) composé exclusivement de scientifiques, afin de se prononcer sur l’utilisation des données de santé des personnes sur le territoire français pour faire face à la pandémie actuelle. A l’ère du numérique et du big data, l’utilisation de la technologie et des données semble inévitable et fondamentale pour lutter contre un virus comme le Covid-19 et faire en sorte que la crise soit la plus courte possible. Mais cela ne doit pas se faire au détriment du respect des libertés fondamentales. Quelles seront les décisions prises par le gouvernement et fondées sur cette classification de la population ?
Des décisions générales ou personnalisées ?
Cette classification aura-t-elle pour objet de donner lieu à des décisions générales de santé publique ? Ou, au contraire, visera-t-elle à prendre des décisions personnalisées en fin de crise, pour décider quelles sont les personnes qui auront le droit de sortie de confinement en fonction de leur exposition à des personnes contaminées ? Allons-nous privilégier les personnes exposées, et donc potentiellement immunisées, pour les embauches à des postes à plus haut risque (livreur, caissiers, etc.) au cas où le Covid-19 reviendrait ?
Cette stratégie numérique d’identification fait naître beaucoup trop d’interrogations pour qu’elle ne fasse pas l’objet d’une réflexion approfondie du cadre légal sans lequel elle ne devrait pas exister. Nous ne savons pas combien de temps cette crise sanitaire va durer. Une classification systématique d’une population en fonction d’un critère de santé est dangereuse, et cela ne peut se faire sans l’appui et l’avis d’experts juridiques, dont le travail est de vérifier que les mesures prises sont proportionnées et prises dans le respect des libertés fondamentales des personnes concernées. N’attendons pas la fin de la crise où nos données de santé seront potentiellement exploitées, pour demander le respect de nos droits au respect de la vie privée.