Qu’est-il possible aujourd’hui en France en matière d’exploitation des données téléphoniques des particuliers ?
Les opérateurs téléphoniques peuvent réutiliser les données de géolocalisation qu’ils traitent de manière anonymisée pour les agréger et les mettre à disposition de tiers. Ils peuvent les réutiliser librement puisque ce ne sont plus des données à caractère personnel. Ils peuvent, par ailleurs, les réutiliser avec le consentement des personnes sous forme individualisée.
Lire aussi : Le gouvernement prépare une application de tracking des malades
Les opérateurs n’ont pas mis en place de nouveaux dispositifs. Les règles relatives aux données de trafic existent déjà depuis longtemps. Le Covid-19 est un motif nouveau mais techniquement les dispositifs sont déjà là.
Quelle application concrète, lors de cette crise ?
Il est possible de reconstruire des parcours-types par exemple dans les foyers de contagion afin d’identifier le risque d’expansion de la pandémie. C’est la raison pour laquelle Orange a transmis des données à l’Inserm. Cela avait déjà été plus ou moins utilisé, par exemple lors de la crise du H1N1.
Qu’est-ce qui pourrait changer, au vu des annonces récentes de l'exécutif sur le sujet ?
Aujourd’hui, on pourrait avoir un traitement individualisé. C’est un autre cas de figure, reposant sur une autre réglementation que celle déjà citée, à savoir la réglementation portant sur les données de trafic. C’est surtout utilisé dans le cadre de la lutte contre le terrorisme. Il pourrait y avoir un suivi beaucoup plus personnel. Je vois mal toutefois ce dispositif perdurer juridiquement car il résulte d’une disposition européenne invalidée par la Cour de justice en 2014. Un suivi de cette nature serait disproportionné.
Une solution intermédiaire est toutefois à l’étude. Comme à Singapour, elle reposerait sur une application permettant à des personnes qui s’y seraient inscrites volontairement de faire connaître leur infection aux individus à proximité. Autrement dit, le fait qu’une personne soit porteuse du virus pourrait être, avec son consentement, rendu public, dans une démarche citoyenne. Mais cela serait sans doute difficile à mettre en place car le traitement des données à caractère de santé est très encadré.
La Cnil avait émis une alerte…
La Cnil s’est alignée avec les positions du contrôleur européen de la protection des données. Elle a conscience de la nécessité de faire face à l’urgence et à l’intérêt vital. Sous réserve d’anonymisation des données ou du consentement des personnes.
La Chine et la Corée du Sud sont allées loin sur le sujet…
En Chine, la réglementation sur les données personnelles est liée à un impératif de lutte pour la cybersécurité. La particularité est qu’il y a un fort suivi a posteriori : il s’agit plutôt d’une reconstruction que d’une anticipation des parcours des personnes. A l’issue de la période de pandémie, les dispositifs ne devraient pas être maintenus, selon les autorités.
En Corée du Sud, un suivi a été mis en place de la même manière. Il a surtout été combiné avec l’importante campagne de dépistage obligatoire. Il a été peu remarqué que des agents publics ont bénéficié de leurs fonctions pour rendre publiques sur les réseaux sociaux des bases où figuraient des personnes atteintes du virus. Elles risquent des sanctions pour cela. Il est peu probable que ces dispositifs soient transposables en France.
En Europe, le traçage numérique a été envisagé au Royaume-Uni, à des fins d’études rendues publiques de manière agrégée. Les pays qui ont connu des régimes autoritaires (Allemagne, Italie, Espagne) ont habituellement plus de réserves et restent plus volontiers sur des solutions anonymisées.
Bio express
Me Romain Perray est spécialiste de la protection des données et de la cybersécurité, enseignant à La Sorbonne et Assas et avocat associé du cabinet d'avocats McDermott Will & Emery.
