Prévention des pandémies : la collecte des données personnelles comme solution ?

En bref :

Le 3 juin, la délégation sénatoriale à la prospective a remis un rapport soumettant l’idée de la création d’une plateforme, Crisis Data Hub, activable en cas d’épidémie, et qui consisterait à rassembler les données collectées par plusieurs applications mobiles (TousAntiCovid, OUI.sncf, Waze). Si de telles pratiques ont prouvé leur efficacité face à une épidémie dans certains pays (en Chine, en Corée du sud, à Hong-Kong, à Taïwan ou en Pologne), en France, elle se heurte à la question sensible de la protection des données et à la conservation des libertés individuelles. 

💡 Pourquoi c’est intéressant ? En plein débat sur l’extension du pass sanitaire en France, cette problématique de la collecte des données personnelles devient encore plus prégnante. Il est difficile de savoir jusqu’où seront utilisées ces données, ce qui n’éclaire pas vraiment le débat et clive les différentes opinions. 

Les faits : 

– La CNIL définit les données personnelles comme «toute information se rapportant à une personne physique identifiée ou identifiable» : nom, prénom, numéro de téléphone ou de plaque d’immatriculation, numéro de sécurité sociale, adresse postale ou courriel, voix ou image. 

⚖️ Que dit la loi ?

– Depuis 2015, la loi renseignement permet déjà à l’État français de réclamer aux opérateurs téléphoniques les «données techniques relatives […] à la localisation des équipements terminaux utilisés » par les utilisateurs. Selon la Quadrature du Net, association de défense des «libertés fondamentales dans l’environnement numérique», rien ne permet d’affirmer que l’État français a utilisé ce droit lors de l’épidémie. 

– Le RGPD (Règlement général sur la protection des données) autorise le traitement des données personnelles lorsque il est nécessaire, entre autre, «à la sauvegarde des intérêts vitaux de la personne concernée ou d’une autre personne physique» et «à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement». 

–  En France, les données de santé, données personnelles «sensibles», sont considérées comme la continuité du corps, et à ce titre, ne peuvent être ni cédées ni vendues. Leur traitement est interdit, sauf «pour une finalité d’intérêt public, notamment à des fins de recherche». Dans ce cas, l’accord de la CNIL est requis, ou si l’usager donne son consentement de manière «libre, éclairée, spécifique et univoque».

– En 2020, la CNIL conseillait de minimiser la collecte des données personnelles, en ne recueillant que celles cohérentes avec la finalité du projet. Elle recommandait également la mise en place de «mécanismes d’effacement automatique», où en tout cas de pseudonymisation des données. 

📱 Pour une meilleure organisation ? 

– Pour Nathalie Devillier, professeure associée en droit du numérique, le recueil de données est «essentiel pour rompre la chaîne des contaminations». 

– Par ce projet de plateforme, l’un de ses rapporteurs René-Paul Savary soumet l’idée de créer une «interopérabilité qui permette de cibler les personnes vulnérables, prendre des mesures qui les concernent et qui évitent des mesures de confinement global» en récoltant et en rassemblant les données numériques d’identification, de localisation et de santé. Pour le sénateur, «on perdrait en liberté numérique pour gagner en liberté physique». 

– La crise sanitaire a motivé la mise en place d’une telle plateforme en mettant en avant «la complexité à développer des outils au pied du mur sans que cela ne génère un caractère anxiogène» selon Mathieu Darnaud, président de la délégation sénatoriale à la prospective.

– Christophe Mollet, directeur fondateur d’ITSS, à l’origine de l’application CoronApp, avance l’argument qu’aujourd’hui Facebook ou Google récoltent déjà nos données de géolocalisation pour du ciblage publicitaire, alors pourquoi ne pas l’accepter pour nous protéger ? Point que souligne également René-Paul Savary.

⚠️ Le risque de dérives ? 

– Zoé Vilain, avocate associée au cabinet 1862 et spécialisée dans les questions de protection des données personnelles et de droit numérique, relève l’obstacle logistique d’une telle application, puisqu’il faudrait une participation de la population à hauteur de 80% pour qu’elle soit efficace. Elle précise qu’en France, «seulement 3 personnes sur 4 auraient un mobile», empêchant d’atteindre cette proportion. En réalité, 77% des Français possèdent un smartphone, et 95% un téléphone mobile, donc avec un accès très limité à internet.

– L’avocate alerte également sur un risque de discrimination basée sur les données de santé, par la classification de la population en fonction de ces données. 

– En 2019, Edward Snowden estimait que le principal souci était avant tout la collecte des données personnelles et non leur protection, ce à quoi le RGPD n’apporte pas de solution. 

– Centraliser les données personnelles au sein d’une même application fait de cette base une cible privilégiée des cyberattaques. Les données de santé sont de plus en plus menacées, avec une augmentation de 83% des fuites en 2020. 

– Le 9 juin, la Quadrature du Net, annonçait vouloir déposer un référé devant le Conseil d’État, contre le pass sanitaire lancé par le gouvernement, pour la raison qu’il «divulgue de façon injustifiée des données sur l’état civil et des données de santé». Il permettrait de recueillir des données «très sensibles» relatives à la santé de la personne, et inutile au fonctionnement du pass comme la date de vaccination, le nom du vaccin, les contractions passées de la maladie, et non prévues par le décret régissant le cadre du pass sanitaire. 

– Avec ce pass sanitaire, Bastien Le Querrec, l’un des représentants de la Quadrature du Net, redoute que chaque citoyen puisse récupérer les informations médicales d’un autre, par un simple scan de son QR code. Ainsi, l’organisme alerte sur de possibles «effets de bord très importants» et évoque un potentiel «fichage invisible».

Pour compléter ou corriger cet article et apporter vos sources, 📝 rendez-vous sur sa version participative ou venez 💬 en discuter avec nous sur Discord.