COVID-19 : Protection des données personnelles et lutte contre le virus, la Présidente de la CNIL donne sa position devant la Commission des Lois

La Présidente de l’Autorité administrative a souhaité en premier lieu rappeler l’importance des enjeux en termes de protection des données personnelles dans le contexte de crise sanitaire actuelle. Elle a notamment indiqué que la « continuité d’activité repose en partie sur des outils numériques consommateurs en données personnelles » mais aussi que « les données personnelles sont vues comme une ressource pour répondre directement aux défis sanitaires ».

C’est sur ce deuxième point, lequel a d’ailleurs justifié la demande d’audition formulée par la Commission des Lois, que Marie-Laure Denis s’est exprimée, et plus spécifiquement sur l’utilisation d’outils se fondant sur l’analyse de données de localisation d’individus.

La Présidente de la CNIL différencie trois finalités qu’un gouvernement peut poursuivre en ayant recours aux données de localisation de ses ressortissants : cartographier la propagation du virus, faire respecter les mesures prises par le gouvernement, procéder au suivi de cas contacts (« contact tracing »).

Concernant l’usage des données de localisation des résidents européens, Marie-Laure Denis rappelle les deux textes applicables en la matière.

En premier lieu, la directive de 2002 « ePrivacy » qui dispose que, sauf anonymisation, le traitement de données de localisation est soumis au consentement de la personne concernée. Marie-Laure Denis rappelle cependant que ce texte prévoit la possibilité dans certains cas de s’abstenir du consentement de la personne à la collecte de ses données si l’Etat membre introduit des mesures législatives en ce sens. La « sécurité publique » étant une des hypothèses permettant de déroger au consentement, la lutte contre la pandémie de COVID-19 est susceptible d’être couverte en l’espèce.

Le second texte est le RGPD, qui trouve à s’appliquer lorsque les données de localisation ne sont pas anonymes. La Présidente de l’autorité de contrôle formule trois observations à ce sujet. Tout d’abord, le traitement des données doit avoir une base légale, qui peut être ici le consentement, l’obligation légale, la mission d’intérêt public de l’organisme qui traite les données, ou dans certains cas, la sauvegarde des intérêts vitaux des personnes. La deuxième observation concerne le traitement des données de santé, qui est en principe interdit sauf certaines exceptions, parmi lesquelles figurent le consentement de la personne, les nécessités de sa prise en charge sanitaire, l’intérêt public dans le domaine de la santé publique.

Enfin, la Présidente de l’Autorité rappelle que les Etats doivent respecter certains droits et/ou certaines obligations, aussi légitimes que soient les objectifs poursuivis par le traitement. Elle énonce plus précisément les règles qu’il convient de respecter pour traiter des données de localisation dans le cadre de la lutte contre le COVID-19. Parmi celles-ci figurent notamment : la définition et la limitation des finalités du traitement (objectif poursuivi), la justification de l’adéquation du recours au traitement de ces données (en l’espèce, son utilité dans le contexte de crise sanitaire), la nécessité du recours au dit traitement (besoin réel de traiter ces données pour juguler la pandémie) et la proportionnalité (en privilégiant les solutions les moins intrusives). Par ailleurs, les données ne peuvent en principe être conservées après la crise sanitaire.

La Présidente de la CNIL conclut son propos en rappelant les deux possibilités s’offrant au gouvernement pour permettre la mise en place de traitements de localisation des individus :

• Mise en place d’un suivi individualisé sur la base du volontariat : dans ce cas le gouvernement devra recueillir le consentement libre et éclairé de la personne. Le fait de refuser la collecte de données ne pouvant avoir aucune conséquence préjudiciable pour l’intéressé ;

• Mise en place d’un dispositif de suivi individualisé obligatoire : dans ce cas le gouvernement devra faire voter une loi spéciale.

Si la CNIL ne semble donc pas exclure totalement la mise en application d’outils de tracking, potentiellement projetés par le Gouvernement dans le cadre de la crise sanitaire, il semble toutefois que l’autorité s’en tienne à une interprétation stricte des bases légales pouvant justifier la mise en œuvre de tels outils de traitement de données personnelles. L’Autorité reste donc fidèle à ses positions protectrices sur les limites qu’il est possible de poser aux libertés individuelles, notamment à des fins d’intérêt public.

Pour toute question, vous pouvez nous écrire à l’adresse dédiée :

[email protected]