CNIL, StopCovid, Santé, RGPD, s’agit-il de la quadrature du cercle ?
Il n’est pas plus facile de faire bon ménage entre protection des données personnelles et besoin d’informations sanitaires généralisées, ou entre liberté individuelle et santé publique. Certes, il ne faut pas tomber dans le « syndrome Snowden » et voir big brother partout, avec ses complots étatiques. Toutefois, il faut aussi se prémunir contre l’utilisation de technologies numériques pouvant porter atteinte à la protection des données à caractère personnel. Ceci est au cœur du débat autour du StopCovid.
L’idée du StopCovid est né d’un constat simple : puisque tout le monde ou presque utilise aujourd’hui un smartphone, pourquoi ne pas en profiter pour se protéger contre le Covid-19 ? La téléphonie moderne permettant aux téléphones de s’identifier entre eux, pourquoi ne pas demander aux utilisateurs de partager volontairement leurs informations en cas de contagion du Covid-19 ? Toutefois, ceci soulève toute une série de questions juridiques sur la liberté individuelle ou collective, le civisme et les données à caractère personnel.
Ma liberté s’arrête où commence celle des autres
Cette maxime a une origine incertaine. Elle apparait sous une forme légèrement différente dans la Déclaration des Droits de l’Homme et du Citoyen de 1789. L’auteur précis n’est pas connu. Quoiqu’il en soit, elle pose comme principe qu’il y a une séparation entre la liberté personnelle et celle d’autrui. Or, bien heureux celui ou celle qui peut préciser où se trouve la limite entre les deux. C’est pourtant bien de cela dont il s’agit avec le StopCovid pour délimiter la frontière entre la protection du bien commun, c’est-à-dire le dépistage du Covid-19, et l’atteinte à la protection des données à caractère personnel des Français.
Dans sa Délibération n° 2020-046 du 24 avril 2020 portant avis sur le projet d’application mobile dénommée StopCovid, la CNIL conclu à la légalité du projet gouvernemental en soulignant les points suivants : il s’agit bien d’un traitement de données de santé ; l’utilisation de l’application mobile est volontaire ; le RGPD constitue une base légale acceptable ; les atteintes à la vie privée sont « proportionnées (…) et utiles à la gestion de la crise » ; enfin, la CNIL prescrit que le Ministère de la Santé soit le responsable du traitement, qu’une analyse d’impact sur la protection des données (AIPD) soit faite. La CNIL émet, par ailleurs, des recommandations techniques sur l’exactitude des données, leur sécurité et l’information adéquate des utilisateurs du StopCovid.
Un appel au civisme et à l’altruisme
Au-delà de la solidité de l’argumentaire et le fondement légal du projet StopCovid et des positions de la CNIL et du gouvernement, il s’agit de faire appel au civisme, à la responsabilité et à l’altruisme des Français. En effet, la question essentielle est celle de vouloir, ou non, accepter individuellement de partager des données personnelles pour faire bloc collectivement contre la propagation du Covid-19.
En réalité il est assez vraisemblable et même probable que tout le monde serait d’accord sur le projet StopCovid s’il garantissait à 100% que l’utilisation des données de santé, telle que prévue, soit exclusivement faite pour lutter contre la prolifération du virus. Or, malgré les promesses du gouvernement dans ce sens, les Français doutent et ne font pas confiance.
Les parlementaires, juristes, associations de défense des droits de l’Homme et autres organismes ont manifesté leur volonté de préciser le texte du projet StopCovid et limiter son application au strict nécessaire pour accomplir la mission d’intérêt public, que tous reconnaissent et applaudissent, pour la protection des malades, des professionnels de la santé et des Français en général.
L’indispensable protection des données à caractère personnel
La CNIL veille sur cette limitation du projet et sa délibération précise que « la conception de l’application StopCovid témoigne du souci de protéger la vie privée des personnes ». La Commission ajoute que « toute l’architecture du dispositif…minimise le risque de réidentification de la personne infectée à l’origine d’une alerte, dans le plein respect des principes de protection des données personnelles ».
La CNIL recommande aussi que « cette application soit disponible sur suffisamment de magasins d’applications mobiles (« appstores », « playstore », etc.) et compatible avec la majorité des téléphones » ; que « des mesures de sécurité organisationnelles et techniques de très haut niveau soient mises en place » ; et que « seuls des algorithmes cryptographiques à l’état de l’art doivent être mis en œuvre, afin d’assurer l’intégrité et la confidentialité des échanges ». La CNIL demande aussi « qu’elle soit à nouveau saisie - après le débat parlementaire - pour se prononcer sur les modalités définitives de mise en œuvre du projet StopCovid ».
Le confinement de 75 ou 80% des Français pendant huit semaines aura indéniablement été une mesure essentielle pour endiguer le Covid-19. Or, l’isolement n’est pas un substitut au vaccin, ni au développement d’anticorps naturels. Gageons que le projet StopCovid, légal et limité, puisse s’inscrire utilement dans les trois axes Protéger/Tester/Isoler du programme du gouvernement pour le déconfinement à partir du 11 mai.