Le Comité analyse recherche et expertise (Care) a été missionné la semaine dernière par l'Elysée pour étudier l'opportunité de mettre en place des techniques de "backtracking", qui permettent d’identifier les personnes en contact avec celles infectées par le virus du Covid-19, ainsi que sur la mise en place "d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées".
Privilégier l'usage de données agrégées et anonymes
À la suite de cette annonce, la Cnil a produit des recommandations au Care dont notre confrère Mediapart a eu connaissance. La commission rappelle tout d'abord que "le cadre juridique actuel, en particulier le RGPD et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes. Ce même cadre juridique permet aux États d’aller plus loin et de déroger, par la loi, à cette exigence d’anonymisation ou de consentement, sous certaines conditions."
L'autorité administrative indépendante appelle ensuite à "privilégier le traitement de données anonymisées et non de données individuelles, lorsque cela permet de satisfaire l’objectif". La Cnil rejoint ainsi la voie préconisée par la Commission européenne, exprimée quelques jours plutôt par le commissaire au marché intérieur, Thierry Breton (voir notre article). Celle-ci est portée en France par l'opérateur Orange qui vient du reste de produire une première étude via son outil Fluxvision (voir encadré ci-dessous).
Une loi et un débat pour le pistage individuel
Si l'usage de données anonymisées permet de suivre l'évolution des concentrations de population, elle ne permet pas un suivi individuel, au cœur de la notion de "backtracking". Ce système utilise les données de géolocalisation des smartphones des personnes testées positives au Covid-19 pour vérifier que celles-ci restent bien confinées à leur domicile (avec cependant les aléas de la fiabilité des GPS à l'intérieur des locaux). Le backtracking fournit aussi la possibilité de visualiser les déplacements des malades, de reconstituer leurs parcours pour identifier, voire prévenir, les individus susceptibles d’avoir été exposés au virus.
Si ce type de dispositif devait être mis en œuvre en France, la Cnil invite le gouvernent à recueillir l'aval préalable du parlement. "Si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l’ensemble des personnes concernées une intervention législative s’imposerait" alerte la Cnil en précisant "qu'il faudrait s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (par exemple en termes de durée et de portée)." La Cnil conclut sa note en offrant ses services pour accompagner les initiatives des pouvoirs publics "permettant de lutter contre la pandémie tout en protégeant la vie privée des personnes". Parallèlement, la Cnil a annoncé que tous les dispositifs de recherche concernant le Covid-19 "non conformes aux dispositions d’une méthodologie de référence" seraient examinés "dans des délais extrêmement courts" par ses services.
De son côté Jacques Toubon, le défenseur des droits, interrogé par France info le 25 mars, a demandé l'organisation d'un débat public. "Ce que le défenseur des droits réclame quand on se lance dans un état d'urgence et qu'on fait des exceptions temporaires, c'est qu'il y ait un débat et que l'on puisse discuter de ces questions. Il faut voir d'un côté ce que sont les exigences des libertés et de l'autre côté quel est le bénéfice de cette mesure de géolocalisation" a-t-il déclaré.
ncG1vNJzZmivp6x7o63NqqyenJWowaa%2B0aKrqKGimsBvstFomqiumZl6coWMpZhmm56euW680Z6aoquVYsCiec%2BoqqKsmaS7br%2FUq2SlraOWtKZ5w55kpZldnLKwuM6cmKWho5bBqrvN