C. UN ENCADREMENT VIGILANT DES OUTILS NUMÉRIQUES SUSCEPTIBLES D'ÊTRE UTILISÉS POUR LUTTER CONTRE LA CRISE SANITAIRE ET SORTIR DU CONFINEMENT
Pour renforcer l'efficacité des moyens traditionnels de lutte contre la pandémie, de nouveaux outils numériques et l'analyse des données à caractère personnel 22 ( * ) ont été mis en oeuvre par plusieurs gouvernements étrangers, et c'est une perspective qu'esquissent désormais tant les autorités européennes que notre Gouvernement.
Les finalités susceptibles d'être poursuivies sont diversement intrusives , et elles doivent bien être distinguées :
1° Étude épidémiologique globale : il s'agit d'identifier les zones densément peuplées (où le virus se propagerait facilement), de surveiller l'évolution des flux globaux de population (déplacements d'une région à l'autre ou non-respect de fermeture d'une frontière), d'étudier le respect de consignes de confinement (absence de téléphones connectés aux antennes dans certains espaces publics interdits d'accès). Cette utilisation devrait exclure toute finalité de contrôle des populations. C'est l'usage auquel réfléchit, par exemple, l'Union européenne 23 ( * ) .
2° Prévention personnalisée pour les personnes exposées (traçage / « tracking » ou retro-traçage / « backtracking ») : il s'agit de retrouver a posteriori les personnes passées dans un foyer d'épidémie (transport en commun, établissement recevant du public, lieux de réunions, lieux de culte...), celles qui ont croisé une personne infectée... pour informer personnellement des individus à risque d'avoir été infecté, voire pour leur demander de se mettre en quarantaine et de se faire tester.
C'est l'usage étudié en France depuis l'annonce de l'installation d'un Comité analyse recherche et expertise (CARE) par le Président de la République (chargé de conseiller le gouvernement sur la mise en place d'une « stratégie numérique d'identification »), comme a semblé le confirmer le Premier ministre lors de son audition devant l'Assemblée nationale 24 ( * ) ;
3° Surveillance et sanction des malades contaminés : il s'agit de suivre l'état de santé des personnes infectées, de vérifier que les personnes en quarantaine ne se déplacent pas (« quarantaine numérique »), voire de sanctionner les manquements. Cette finalité s'opère généralement via une application dont l'installation est obligatoire, qui géo-localise l'utilisateur en permanence, avec appels de vérification par des agents publics et demande régulière de preuve de résidence (photo).
Pour mémoire, dès le début de la crise sanitaire, les autorités de protection des données ont rappelé 25 ( * ) les exigences du cadre juridique européen qui protège les données personnelles des européens et sa souplesse en matière de santé publique . Comme le résume ainsi la CNIL dans une recommandation aux pouvoirs publics : « Le cadre juridique actuel, en particulier le Règlement général sur la protection des données et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes. Ce même cadre juridique permet aux États d'aller plus loin et de déroger, par la loi, à cette exigence d'anonymisation ou de consentement, sous certaines conditions. Si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l'ensemble des personnes concernées, une intervention législative s'imposerait (...) Il faudrait alors s'assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (par exemple en termes de durée et de portée). »
La mission de suivi reconnaît, bien sûr, l'intérêt potentiel de ces outils numériques, notamment dans le cadre d'une stratégie de sortie de confinement. La mission souligne néanmoins les graves questions soulevées par ces nouvelles applications : les propositions du Gouvernement en matière de traçage devront être rapidement explicitées et exposées sans délai devant la représentation nationale. Elles seront examinées avec la plus grande vigilance au regard des atteintes susceptibles d'être portées aux libertés individuelles .
* 22 Deux grands types de données peuvent être collectés dans le cadre de la lutte contre la pandémie :
- des données fournies par les utilisateurs via des sites internet ou des applications ad hoc installées sur leurs téléphones mobiles (déclaration de température dans le cadre d'un suivi médical dématérialisé, attestation de présence dans un lieu de quarantaine...) ; dans certains pays, l'installation de ces applications est obligatoire et la fourniture de ces données n'est pas volontaire (pour la quarantaine : Chine, Taiwan, Pologne) ;
- des données collectées auprès des opérateurs téléphoniques (métadonnées ou données de « bornage » qui ne concernent pas le contenu des conversations mais permettent une géo-localisation l'abonné à partir de l'antenne où son téléphone est connecté).
* 23 Le commissaire européen chargé du marché intérieur, Thierry Breton, s'est entretenu le 23 mars 2020 avec plusieurs opérateurs télécoms pour leur demander de fournir aux autorités européennes les données mobiles liées au positionnement géographique de leurs clients. Une fois les données agrégées et anonymisées, l'objectif serait de savoir en temps réel où les demandes de matériel médical sont les plus pressantes.
* 24 Audition du mercredi 1 er avril 2020 devant la mission d'information sur l'impact, la gestion et les conséquences dans toutes ses dimensions de l'épidémie de Coronavirus-Covid 19.
* 25 « Coronavirus (Covid-19) : les rappels de la CNIL sur la collecte de données personnelles », 6 mars 2020, https://www.cnil.fr/fr/coronavirus-covid-19-les-rappels-de-la-cnil-sur-la-collecte-de-donnees-personnelles ;
Statement by the EDPB Chair on the processing of personal data in the context of the COVID-19 outbreak, 16 mars 2020, https://edpb.europa.eu/news/news/2020/statement-edpb-chair-processing-personal-data-context-covid-19-outbreak_en .