En cette période d’épidémie, chaque Etat tente avec plus ou moins de succès d’endiguer la propagation du Covid-19. La globalisation a révélé ses limites, et les institutions internationales ont bien du mal à réagir et à résoudre cette crise. L’Union européenne n’échappe pas à cette confusion généralisée, elle qui avait déjà de nombreux défis à relever, comme le Brexit ou encore la montée des populismes qui fragilisent l’Europe depuis plusieurs années. Face à la rapidité de la contamination à travers le monde, les Etats européens n’ont pu se coordonner, et chacun tente de contrôler la situation au sein de ses propres frontières.

Cette absence de coordination s’est ressentie notamment dans la recherche d’une solution numérique à cette crise sanitaire. Dès mars, l’idée de développer une application mobile de traçage a émergé en Europe, relançant ainsi le débat bien connu qui oppose liberté et sécurité. Les réactions des populations européennes ont été à la mesure de la confiance qu’elles accordent à leur gouvernement : d’une acceptation presque unanime à une méfiance générale[1]. Mais en ces temps de repli national, il doit être rappelé que des règles européennes existent et protègent les données personnelles, garantissant la vie privée des citoyens. La question est de savoir si elles protègent suffisamment et peuvent empêcher les dérives intrusives et autoritaires qui inquiètent les européens.

 Les enjeux du « contact tracing »

Le « contact tracing », ou suivi de contact est un processus de contrôle que l’Organisation mondiale de la santé a déjà encouragé auparavant notamment pour l’épidémie d’Ebola  pour lutter contre la propagation des maladies. Il s’agit d’examiner les personnes étant entrées en contact avec une personne infectée par un virus, ce qui pourrait les aider à obtenir des soins et ainsi en prévenir la transmission. Ce processus peut être résumé en 3 étapes :

  • L’identification : quand il est confirmé qu’une personne est contaminée par un virus, ses contacts sont identifiés en retraçant les activités et déplacements du porteur.
  • Le listage : ces contacts sont ensuite listés, afin qu’ils soient informés des risques de contamination qu’ils encourent, les mesures à prendre et l’importance de recevoir des soins à la première apparition de symptômes.
  • Le suivi : un suivi régulier doit être mis en œuvre auprès de tous les contacts pour gérer les symptômes et détecter des signes d’infection.[3]

Généralement, le suivi de contact est un travail accompli manuellement par les équipes médicales qui implique de parler aux individus, détailler leurs mouvements etc… L’un des enjeux de ces applications de traçage est d’être plus efficace que ces enquêtes, plus rapides mais sans violer la liberté, la sécurité et la vie privée des personnes.

Les craintes liées à de telles applications viennent notamment de l’utilisation qu’en ont fait certains gouvernements. Au sein d’un système autoritaire, comme en Chine, cette technologie constitue un outil de contrôle numérique supplémentaire. Les citoyens ont l’obligation d’utiliser l’application et leurs données sont partagées avec la police.[4] Cependant, le système des applications proposées ou en développement en Europe suivra un schéma moins intrusif,  pour minimiser les atteintes aux droits et libertés de chacun.[6]

Les Etats européens n’ont pas tous réagi à la même vitesse à cette idée d’application. Alors qu’en Autriche, par exemple, l’application Stop-Corona de la Croix rouge est déjà téléchargée par des milliers de personnes[7], plusieurs coalitions scientifiques se mettent en place pour élaborer un protocole le plus efficace possible. C’est ainsi que l’organisation PEPP-PT est créée fin mars 2020 et lancée le 1er avril afin de fédérer la recherche au niveau de l’Europe autour d’une solution à la crise. Cette organisation fonctionne comme un parapluie englobant plusieurs équipes travaillant sur différents protocoles, que les Etats suivront ensuite pour développer leur propre application. Malheureusement, des désaccords techniques, principalement liés au stockage des données, entraînent rapidement le départ d’une bonne partie de ses membres. Deux options de stockages sont alors examinées :

  • Soit les données sont récoltées par un serveur contrôlé par l’autorité sanitaire nationale (option « centralisée »)
  • Soit elles sont conservées sur l’appareil mobile (option « décentralisée »)

La première option est défendue par le consortium européen PEPP-PT dans le protocole « Robert », auquel participe des équipes françaises, allemandes, italiennes et suisses. Le protocole DP-3T qui utilise la seconde option était originellement développé dans le cadre du groupe PEPP-PT, mais l’a quitté à cause de ce désaccord.[8] Il est proche de ceux développés dans les pays anglo-saxons par les coalitions PACT ou TCN.[9]

Le point commun de tous ces protocoles est qu’ils ne s’appuient pas sur la géolocalisation, qui représente une trop grande atteinte à la vie privée des individus. Les développeurs se focalisent sur l’utilisation de la technologie sans fil Bluetooth capable de détecter si un autre téléphone mobile équipé de la même application se trouve à proximité immédiate. Ainsi, lorsque deux personnes se croisent pendant une certaine durée, et à une distance rapprochée, le téléphone portable de l’un enregistre les références de l’autre dans son historique. Si un cas positif se déclare, ceux qui auront été en contact avec cette personne sont prévenus de manière automatique.[10]

Ces applications ont tout de même pour but de récolter un certain nombre de données personnelles, c’est-à-dire « toute information se rapportant à une personne physique identifiée ou identifiable »,[11] dont certaines sont considérées comme « sensibles ». Elles sont donc soumises à la réglementation européenne de protection des données personnelles.

Les textes européens pour la protection des données personnelles

Le droit à la protection de ses données personnelles est consacré notamment dans l’article 8 (1) de la Charte des droits fondamentaux de l’Union européenne, qui dispose que « toute personne a droit à la protection des données à caractère personnel la concernant ». Des dispositions réglementaires ont ensuite été prises afin de préciser les implications de ce droit.

Le Règlement (UE) 2016/679 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, aussi appelé Règlement général sur la protection des données (RGPD), fait partie d’un ensemble de mesures adopté en mai 2016 pour adapter l’Europe à l’ère numérique. Ces mesures étaient nécessaires pour renforcer les droits fondamentaux des citoyens et stimuler l’activité économique en simplifiant la réglementation pour les entreprises. Elles mettent ainsi fin à la fragmentation juridique et aux lourdes charges administratives qui pesaient sur les entreprises. Le règlement est entré en vigueur le 24 mai 2016, puis est devenu applicable le 25 mai 2018 après avoir abrogé la directive 95/46/CE.

Ce règlement est primordial. Il définit tous les termes spécifiques à cette matière du droit, ainsi que ses applications matérielles et territoriales. Ce texte est très protecteur, en particulier pour le traitement de certaines catégories de données. C’est le cas notamment des données concernant la santé, dont le traitement est interdit.[12] Cependant, l’article 9 du règlement énonce également en son paragraphe 2 les dérogations à ce principe. Ainsi, il dispose que le paragraphe 1 ne s’applique notamment pas si « le traitement est nécessaire pour des motifs d’intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé […] sur la base du droit de l’Union ou du droit de l’État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée ».

Une application de traçage se serait  donc pas incompatible avec le droit de l’Union européenne à partir du moment où elle remplit une mission d’intérêt public et qu’elle se fonde sur une loi nationale, et ce même si elle traite des données personnelles concernant la santé. Cependant, des comités européens de protection des données[13] se sont penchés sur les atteintes aux droits que pourrait impliquer la mise en place d’un tel dispositif. Ils ont rendu des avis similaires et, s’ils ne sont pas par principe contre cette technologie, ils suggèrent aux Etats de prévoir des garanties fortes. Ces garanties ont pour but, d’une part, de contrer le caractère intrusif de ces applications et, d’autre part, d’atténuer les possibilités de réidentification qui menacent également le droit à la vie privée, consacré par l’article 7 de la Charte.

Les garanties pour le respect des droits

Le traitement des données personnelles concernant la santé est certes autorisé par le règlement en cas de mission d’intérêt public, mais cela n’autorise pas les gouvernements à récolter et utiliser ces données comme ils le souhaitent. Son article 5 consacre les principes relatifs au traitement des données, et notamment le principe cardinal de limitation des finalités. En effet, « les données à caractère personnel doivent être collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d’une manière incompatible avec ces finalités »[14]. De plus, elles doivent être « traitées de manière licite, loyale et transparente au regard de la personne concernée »[15]. Ces principes impliquent que les objectifs devront être votés avant la mise en œuvre de l’application et ils ne pourront être dépassés. La transparence est une garantie supplémentaire de la bonne utilité de cette technologie.

Le droit à la vie privée est également menacé par de telles applications, le gouvernement doit donc fournir les garanties spécifiques exigées par le RGPD, mais également veiller à ce que l’atteinte à la vie privée demeure proportionnée à l’objectif poursuivi. Qu’est-ce que cela implique concrètement?

Tout d’abord, la collecte des données et leur conservation doivent être limitées à la plus stricte nécessité. Ainsi, elles ne peuvent avoir qu’un caractère temporaire, de la même durée que celle de l’utilité du dispositif. Une fois que les objectifs de l’application ont été remplis, c’est-à-dire en l’espèce que la crise sanitaire est finie, ces données doivent être immédiatement supprimées. Cela implique également que le gouvernement doit avoir l’assurance raisonnable que le dispositif sera utile à la gestion de la crise et notamment à la sortie du confinement de la population qui porte par lui-même une atteinte très forte à la liberté d’aller et venir. En effet, l’efficacité de l’application dépend de nombreux paramètres qui peuvent faire douter de son utilité. Les conditions techniques nécessaires à l’effectivité de l’application ne seront pas exposées ici. En revanche, son utilité repose également sur une adoption large de la population, qui ne peut se produire qu’avec la confiance envers le dispositif.

Cette confiance se conquiert grâce aux garanties précédemment exposées, mais également et surtout avec le principe de volontariat. En effet, le volontariat, conjugué à la transparence quant au mode de fonctionnement, l’utilisation des données et la finalité de leur traitement est un élément déterminant pour favoriser l’adoption du dispositif. Il doit être explicitement prévu dans les textes juridiques le régissant, comme dans l’information du public. Mais il ne doit pas seulement s’agir du choix de télécharger et de mettre en œuvre l’application. Le volontariat doit aussi signifier qu’aucune conséquence négative ne surviendra en l’absence de téléchargement. Aucune institution publique, employeur ou tout autre personne impliquée ne doit subordonner certains droits, comme le travail, ou l’accès à certains services à l’utilisation de l’application. Un tel conditionnement serait d’ailleurs considéré comme une discrimination.

Lise Guillotin
Diplômée du Master 2 Droit public parcours Carrières Internationales, bilingue Français/Anglais – Université Clermont Auvergne


Notes de bas de page

[1] Martin Untersinger, « Coronavirus : en Europe, la ruée en ordre dispersé sur les applications de « traçage » », Le Monde, 18 avril 2020.

[2] WHO’s website, «Q&A : contact tracing », 9 May 2017. Disponible en ligne : https://www.who.int/news-room/q-a-detail/contact-tracing [consulté le 28 avril].

[3] Idem.

[4] Patrick Howell O’Neill, “How Apple and Google are tackling their covid privacy problem”, MIT Technology Review, April 14, 2020.

[5] Cf les protocoles présentés par les différentes coalitions d’experts occidentaux qui utilisent tous le système Bluetooth plutôt que la géolocalisation.

[6] Notamment le comité européen de la protection des données dans son avis n° 04/2020 du 21 avril 2020 et la commission nationale de l’informatique et des libertés dans sa délibération n° 2020-046 du 24 avril 2020 portant avis sur un projet d’application mobile dénommée « StopCovid ». Aux Etats-Unis, l’ACLU a également rendu un avis similaire in Jennifer Stisa Granick, “Apple and Google announced a coronavirus tracking system. How worried should we be?”, ACLU News and Commentary, April 16, 2020.

[7] Ibidem note 1.

[8] Documents de DP-3T sur Github : https://github.com/DP-3T/documents [consulté le 6 mai 2020]

[9] Tous les protocoles cités dans cet article sont disponibles sur le site Github. Protocole DP-3T : https://github.com/DP-3T. Protocole Robert : https://github.com/ROBERT-proximity-tracing/documents. Protocole TCN : https://github.com/TCNCoalition/TCN [tous consultés le 6 mai 2020].

[10] Rubrique Pixels, « Coronavirus : qu’est ce que StopCovid, l’appli de traçage étudiée par le gouvernement ? », Le Monde, 8 avril 2020.

[11] Règlement (UE) 2016/679, article 4 (1).

[12] Règlement (UE) 2016/679, article 9 (1).

[13] Ibidem note 6.

[14] Règlement (UE) 2016/679, article 5 (1) (b).

[15] Règlement (UE) 2016/679, article 5 (1) (a).