Intervention de Marie-Laure Denis

La deuxième conviction sur laquelle je souhaiterais insister est qu'il faut se garder de penser qu'une application va tout résoudre, quand bien même les nouvelles technologies peuvent contribuer à une sortie sécurisée du confinement dans le cadre d'une stratégie globale. J'appelle régulièrement à la vigilance contre la tentation du « solutionnisme technologique ». Il faut explorer les opportunités technologiques, mais aussi leurs limites et leurs risques pour les droits des personnes. Si elles peuvent être d'un grand secours dans la gestion de la crise sanitaire, faute de recul suffisant, il est encore difficile d'évaluer leurs bénéfices effectifs, d'autant plus que les usages peuvent varier selon le type de données collectées et les finalités poursuivies.

Dans cette optique, la CNIL a le souci de s'entourer d'une double expertise : la première – notre coeur de métier – consiste à se donner les moyens de connaître et de comprendre, d'un point de vue technique, l'ensemble des dispositifs utilisés, des projets envisagés, des solutions imaginées dans le monde pour lutter contre la pandémie. Nos ingénieurs, nos juristes, nos autres experts, au contact des acteurs de la société civile, en lien avec nos homologues européens, assurent une veille continue depuis la mi-mars.

La seconde expertise peut paraître moins naturelle, mais elle est également utile : c'est la compréhension de l'intérêt des solutions envisagées pour la santé publique, afin de mesurer la légitimité, la proportionnalité et la pertinence des traitements de données. Nous avons auditionné à ce propos le professeur Jean-François Delfraissy, président du conseil scientifique Covid-19, la semaine dernière.

Les technologies utilisées à l'étranger dans la lutte contre la pandémie sont multiples : caméras thermiques, reconnaissance faciale, utilisation de drones diffusant des messages aux personnes ne respectant pas le confinement, collecte d'informations sur les réseaux sociaux, localisation par le biais des téléphones portables et des applications de suivi des contacts, dites de contact tracing. Je concentrerai mon propos sur ces dernières technologies, qui reposent sur l'analyse des données de localisation des individus par rapport à des personnes déjà exposées, à leur domicile, à des périmètres de confinement, etc.

Les États ont recours aux données de géolocalisation pour trois séries de finalité : cartographier, contrôler, informer. Il s'agit d'abord de cartographier la propagation du virus, de prédire les prochaines zones à risque ou encore de planifier les prochains besoins médicaux urgents.

Il s'agit ensuite de faire respecter les mesures prises pour endiguer la propagation du virus – consignes de distanciation sociale ou obligation de confinement.

Enfin, certains pays utilisent ou ont l'intention d'utiliser, les données à des fins de contact tracing pour réaliser le suivi des contacts des personnes potentiellement exposées afin de les avertir et, éventuellement, de les inviter à se faire dépister. Certains vont même jusqu'à recouper les données de localisation avec des données provenant des tests et des diagnostics ou encore des services des douanes ou de l'immigration.

Deux séries de techniques sont utilisées : la localisation individuelle et la localisation collective. La première est utilisée principalement au Moyen-Orient et en Asie, mais aussi en Europe. Ces dispositifs peuvent être imposés aux citoyens ou reposer sur le volontariat. En Israël, un système basé sur les données de localisation des téléphones mobiles détecte les personnes potentiellement exposées et leur envoie un SMS pour leur demander de se mettre en quarantaine. En Chine, les opérateurs de téléphonie mobile ont partagé les données de localisation avec plusieurs agences gouvernementales afin de reconstituer les mouvements des porteurs potentiels du virus, ainsi que ceux des personnes susceptibles d'avoir été en contact avec eux. En Corée du Sud, le gouvernement a ordonné aux personnes en quarantaine d'installer une application pour vérifier le respect du confinement. Des données de localisation détenues par l'opérateur de télécommunications ont également été utilisées pour identifier les personnes exposées. Le résultat est exploité par les autorités, mais aussi par des sites internet gérés par l'État : cela permet notamment aux citoyens d'être informés des nouveaux cas locaux et d'éviter les endroits où le virus est ou était actif.

D'autres dispositifs sont fondés sur le volontariat : à Singapour, une application reposant sur la technologie Bluetooth vise à identifier les personnes potentiellement exposées qui doivent être testées. La Pologne utilise une application combinant géolocalisation et reconnaissance faciale afin de faciliter la vérification du respect des obligations de confinement des personnes soumises à une quarantaine obligatoire à leur retour d'un voyage à l'étranger.

Les techniques de localisation collective, par le recours aux données de localisation agrégées, sont quant à elles utilisées dans de nombreux pays européens. En Italie, en Autriche et en Allemagne, plusieurs opérateurs de télécommunications ont déclaré avoir fourni des données anonymisées afin de surveiller les déplacements des personnes et de s'assurer du respect du confinement. En Belgique, le ministre de la santé publique a autorisé les opérateurs de télécommunications à transmettre des cartes de mobilité basées sur des données anonymisées et des agrégats géographiques – comme le code postal. Croisées avec les données épidémiologiques des autorités, ces données sont censées aider à prédire la propagation du virus.

En liaison avec les opérateurs de télécommunications, le gouvernement britannique analyse les données de localisation anonymisées pour vérifier si la population respecte ses directives de distanciation sociale et les nouvelles restrictions de transport. Aux États-Unis, le gouvernement serait en pourparlers actifs avec Facebook, Google et d'autres entreprises technologiques et experts en santé sur l'utilisation des données de localisation agrégées pour suivre la propagation du virus.

En outre, plusieurs applications de suivi de contacts sont en cours de développement, notamment Waze for Covid-19 de l'Organisation mondiale de la santé (OMS) ou Safe Path développée par une équipe de chercheurs du Massachusetts institute of technology (MIT) et de Harvard. En France, Orange a annoncé partager des données de localisation anonymisées avec plusieurs partenaires, dont l'INSERM, afin que les épidémiologistes modélisent la propagation de la maladie. L'opérateur a précisé que ces données pourraient également être utilisées pour mesurer l'efficacité des mesures de confinement.

Pour ce qui est du cadre juridique, deux textes réglementent l'usage des données de localisation des résidents européens : la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques (200258), dite e-privacy, et le règlement général sur la protection des données.

Il découle des articles 5 et 9 de la directive e-privacy que, sauf anonymisation, le traitement des données de localisation est soumis au consentement des personnes concernées. Il n'est possible de déroger à ce principe que par des « mesures législatives », et uniquement dans certaines hypothèses limitativement énumérées à l'article 15, notamment la « sécurité publique » entendue au sens large. En France, compte tenu de l'impact d'un tel dispositif et de l'article 34 de notre Constitution, le vote d'une loi serait sans doute nécessaire.

Le RGPD, applicable aux autres techniques de localisation, comme le contact tracing, offre un cadre juridique plus souple, mais exigeant, lorsque les données de localisation ne sont pas traitées de manière anonymisée. Trois exigences en découlent. Pour commencer, tout traitement de données doit avoir une base légale. Ensuite, le traitement des données de santé est en principe interdit, sauf exceptions précisément listées : consentement de la personne, nécessités liées à sa prise en charge sanitaire, intérêt public dans le domaine de la santé publique, protection des intérêts vitaux de la personne concernée, recherche et suivi d'une épidémie et de sa propagation. Enfin, même lorsqu'ils ont des raisons légitimes de limiter certains droits, les États doivent respecter les principes de proportionnalité et de sécurité.

Au regard de ce double cadre juridique, et au-delà de la nécessité de disposer d'un fondement juridique adéquat, le traitement des données de localisation devrait respecter les principes suivants.

Premièrement, les finalités du dispositif doivent être définies et limitées.

Deuxièmement, le traitement des données de localisation doit être adéquat, nécessaire et proportionné. L'instrument doit apparaître réellement utile et non relever d'une solution de confort. Les dispositifs les moins intrusifs – le recours à des données anonymisées, par exemple – doivent toujours être privilégiés. Ils doivent également avoir un caractère temporaire : les données devront être détruites sitôt la crise terminée ou à tout le moins n'être conservées, durant un temps limité et de façon protégée, que pour servir des finalités complémentaires – recherche ou gestion de contentieux, par exemple.

Troisièmement, les données traitées doivent être limitées à ce qui est nécessaire, dans un objectif de « minimisation » des données collectées : certaines applications de suivi-contact ne traitent pas d'informations nominatives, mais associent les données par le biais d'un identifiant unique créé lors de l'installation de l'application.

Par ailleurs, le dispositif doit être conçu de manière à permettre aux utilisateurs d'avoir la maîtrise de leurs données. En l'état du droit, le suivi devrait se faire sur la base du volontariat des personnes concernées. Encore faut-il que le consentement soit valide au sens du RGPD, c'est-à-dire qu'il doit être éclairé, autrement dit précédé d'une information précise, spécifique à la finalité, univoque et libre : le refus de consentir ne doit donc pas exposer la personne à des conséquences, quelles qu'elles soient. J'y insiste car les comparaisons internationales montrent que le volontariat a parfois pour contrepartie une limitation des libertés. À défaut de réel consentement, une loi comportant d'importantes garanties serait nécessaire.

Il convient également de privilégier un stockage des données « en local », autrement dit sur le terminal de l'utilisateur. Les applications s'appuyant sur des données Bluetooth offrent à cet égard davantage de garanties que les systèmes de suivi par GPS.

Enfin, le dispositif devra respecter le principe de transparence, assurer la sécurité des données et respecter le droit des personnes : les citoyens doivent savoir quelles données sont susceptibles d'être traitées, par qui, dans quel but, à quelles conditions et avec qui ces données peuvent être partagées.

En somme, à droit constant, un suivi individualisé des personnes devrait être fondé sur le volontariat et s'appliquer pendant une durée limitée. Si un dispositif obligatoire était mis en place, il devrait faire l'objet d'une disposition législative et devrait, en tout état de cause, démontrer sa nécessité et sa proportionnalité, et rester provisoire. Mais j'observe qu'à ce jour, les pouvoirs publics ont exclu le recours à un tel dispositif.

Au niveau européen, à nos yeux le plus pertinent en termes de réflexion, voire de réaction, les différentes autorités nationales de protection des données travaillent en réseau au sein du Comité européen de la protection des données, lequel s'est fixé pour priorité l'élaboration d'orientations sur trois thématiques principales : l'utilisation des données de localisation et leur anonymisation ; le traitement des données de santé à des fins scientifiques et de recherche ; le traitement des données par les technologies utilisées dans le cadre du télétravail.

Le collège de la CNIL est conscient de l'urgence de conjuguer efficacité sanitaire et respect des libertés fondamentales dans les réponses à apporter à cette crise sanitaire sans précédent. À droit constant, un dispositif numérique de suivi individualisé des personnes peut être créé, mais il ne saurait être qu'un des éléments d'une réponse sanitaire plus globale et à condition d'être assorti de garanties particulièrement fortes en ce qui concerne la protection des données personnelles de ses utilisateurs. Il faut en effet gagner la confiance de nos concitoyens pour qu'ils adoptent un tel dispositif de façon suffisamment massive pour en assurer l'efficacité sanitaire. Si un tel dispositif devait voir le jour, la CNIL remplirait ses missions d'accompagnement et de contrôle.