Voilà quelques jours que l'on s'interroge sur la collecte et l'exploitation possible de nos données mobiles en France, à la fois d'un point de vue technique et légal, et sur le modèle de ce qui se fait à l'étranger. Pour les autorités, il existerait plusieurs atouts à cette récolte : la possibilité de cartographier l'évolution de l'épidémie avec les mouvements de population, ou encore de vérifier le respect des mesures de confinement. Et alors que la France semblait ne pas vouloir calquer sa stratégie sur celle de ses voisins, plus les jours passent et plus les indices pointent vers une inévitable utilisation de celles-ci.
Des discussions entre la Commission européenne et les opérateurs
Il y a d'abord une interview accordée au Figaro par Stéphane Richard, le patron d'Orange, dans laquelle il a indiqué travailler avec l'Inserm à la possibilité de collecter les données afin de "modéliser la propagation de l'épidémie" ou de "mesurer l'efficacité des mesures de confinement". Thierry Breton, commissaire européen au Marché Intérieur, s'est rapidement mis du côté du patron d'Orange, soutenant une utilisation de ces données anonymisées et agrégées.
Le mardi 24 mars toujours, l'Elysée a annoncé la création d'un nouveau Comité analyse recherche et expertise (Care) censé réfléchir sur "l'opportunité de la mise en place d'une stratégie numérique d'identification des personnes ayant été au contact de personnes infectées". Nouvellement formé, le comité n'a pas encore communiqué sur l'ensemble de ses objectifs et leurs mises en œuvre.
On apprend aujourd'hui (jeudi 26 mars) que le transfert de données anonymisées "est prévu pour dans quelques jours". L'AFP précise d'ailleurs que "Thierry Breton s'est entretenu dès lundi avec les patrons de plusieurs grands opérateurs européens, dont Orange, Telecom Italia, Telefonica, Deutsche Telekom et Vodafone, qui se sont dit prêts à partager ces métadonnées".
Des données anonymisées et une urgence qui posent question
Dans un article publié le mardi 24 mars, nous évoquions notamment avec le député Eric Bothorel et La Quadrature du Net des doutes concernant la pertinence de l'utilisation de données de géolocalisation pour suivre l'évolution de l'épidémie, dès lors que les tests de dépistage ne sont pas généralisés en France. Une cartographie de la maladie qui paraîtrait plus pertinente en sortie de crise, si ces tests devenaient courants pour éviter la résurgence de la maladie.
Quant aux données dites anonymisées, elles laissent songeuses un certain nombre de personnalités, à commencer par l'eurodéputée néerlandaise Sophie in't Veld, qui a demandé à Thierry Breton "des éclaircissements", expliquant que l'anonymisation des données n'est pas une pratique si simple.
Fighting the #coronavirus with technology: sure! But always with protection of our privacy. Read my letter to @ThierryBreton 👇 about @EU_Commission's plans to call on telecoms to hand over data from people's mobile phones in order to track&trace how the virus is spreading. pic.twitter.com/55kZo9bMhNJointe par Les Numériques, la Cnil rappelle certaines recommandations. "Plusieurs scénarios seraient envisageables, et les impacts sur les droits et libertés fondamentaux des personnes seraient fonction du type de traitement réalisé sur les données de localisation, explique-t-elle. Le cadre juridique actuel, en particulier le RGPD et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données, notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes."
— Sophie in 't Veld (@SophieintVeld) March 25, 2020
La Commission rappelle toutefois que "ce même cadre juridique permet aux États d'aller plus loin et de déroger, par la loi, à cette exigence d'anonymisation ou de consentement, sous certaines conditions". Dans les cas où un suivi individuel serait nécessaire, la Cnil nous indique que "ce suivi devrait reposer sur une démarche volontaire de la personne concernée", ce qui est le cas pour certaines applications de contact tracing existantes. Aussi, elle indique que "si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l'ensemble des personnes concernées, une intervention législative s'imposerait". Ces mesures législatives dérogatoires devraient alors être justifiées et proportionnées, par exemple en termes de durée et de portée.
Que prévoient les pouvoirs publics ?
Dans une allocution à l'Assemblée nationale, Olivier Véran, le ministre de la Santé, a répondu à la députée Danièle Obono (LFI) qui s'interrogeait sur le suivi des concitoyens. Selon le ministre, il n'est pas question de se diriger vers un modèle à la coréenne, où les autorités peuvent pister chaque individu. "La Corée a équipé tous les téléphones de ce qui était nécessaire pour prévenir tout l'entourage lorsqu'une personne était malade", peut-on l'entendre dire. "Êtes-vous prête à avoir ce débat dans le cadre de cette Assemblée nationale ? Je n'en suis pas convaincu, et à titre personnel non plus."
Pour l'heure, personne au gouvernement ne semble se positionner clairement sur ces questions. Un amendement déposé par deux députés LR, proposant de "permettre aux gestionnaires d'infrastructures vitales (eau, assainissement, gaz, télécommunications) d'accéder aux données de santé et de géolocalisation pour une durée de six mois", a été rejeté dans le cadre du projet de loi sur l'état d'urgence sanitaire.
Quoi qu'il en soit, la Cnil invite les autorités publiques à "veiller à définir objectivement et précisément les objectifs poursuivis par tout dispositif de localisation des personnes" et "à respecter les principes fondamentaux posés par la loi Informatique et Libertés et les textes européens".
Commentaires des Lecteurs
Lettre d'Information