• Une anonymisation réelle ?

A cet égard, l’anonymisation (largement revendiquée en temps normal par de nombreux développeurs) constitue souvent un leurre. Il faut rappeler qu’une véritable anonymisation est en réalité difficile à atteindre, car par recoupement ou déduction, il est souvent possible de réattribuer des données à une origine, et donc à une personne concernée.

A cet égard, même des informations que l’on pense totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement observé, comme ses habitudes de navigation web, ses déplacements, ou d’autres données que détiendrait l’administration sur elle. Ces données comportementales permettent de ré-identifier une personne dont on avait pourtant cru anonymiser les données.

Une donnée est dite « anonyme » lorsque (i) elle n’a plus de caractère intrinsèquement nominatif (plus de nom patronymique, plus d’adresse identifiante, etc.), (ii) elle ne peut plus être utilement corrélée à d’autres données qui, elles, demeurent identifiantes (données du smartphone), et (iii) on ne peut plus en inférer d’information sur une personne. Seule une donnée anonymisée ne permettant définitivement et absolument plus d’identifier une personne, elle peut être librement exploitée (par exemple, à des fins scientifiques, statistiques, d’études de flux, etc.).

Or, la CNIL insiste sur le fait que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Or s’agissant des applications de « contact tracing », certains doutent, sur le plan technique, que le protocole permette une anonymisation complète dès lors qu’une personne se déclare infectée. Il s’agit d’un débat hautement technique, mais qui confirme que des failles peuvent exister.

Du reste, l’anonymisation est parfaitement antinomique avec tout traitement individualisé des personnes : ainsi, s’il est question de contacter une personne identifiée par une application de « contact tracing », il est alors parfaitement illusoire de prétendre que ses données auraient été collectées ou traitées de manière anonyme. S’il s’agit d’effectuer un tracé individuel, ou de « contrôler les confinements », il n’est tout simplement pas possible de recourir à une vraie anonymisation. Il ne s’agirait au mieux que d’une pseudonymisation, qui conserve donc le caractère personnel des données, et qui implique de recourir à une base légale autorisée par le RGPD.

Seul le consentement préalable et parfaitement éclairé, de la personne peut donc permettre le déploiement d’une application de « contact tracing » qui aurait d’autres finalités que la seule élaboration de statistiques agrégées – sauf si le législateur décidait que ces collectes ont justement pour fondement… la loi.

  • Faut-il envisager une obligation légale ?

Dans le cadre de ces projets envisagés en Europe, le CEPD a émis un avis en date du 19 mars 2020, pour indiquer que « Le RGPD est un vaste texte législatif et prévoit des règles qui s’appliquent également au traitement des données personnelles dans un contexte tel que celui relatif au covid-19. Le RGPD permet aux autorités sanitaires et employeurs de traiter les données personnelles dans le contexte d’une épidémie, conformément au droit national et dans les conditions qui y sont fixées ».

Autrement dit, en contexte exceptionnel, les états membres demeurent libres de voter des lois spécifiques permettant de déroger aux règles de base du RGPD, mais dans le respect des articles 6 et 9 du RGPD. La base légale ne pourrait donc être ici que l’intérêt général, et le législateur doit entourer ces collectes exceptionnelles de garanties solides.

Le CEPD se réfère également à la Directive eprivacy lorsqu’il écrit que « l’article 15 de la directive ePrivacy permet aux États membres d’introduire des mesures législatives pour garantir la sécurité publique. Une telle législation exceptionnelle n’est possible que si elle constitue un instrument nécessaire, approprié et mesure proportionnée dans une société démocratique. Ces mesures doivent être conformes aux Charte des droits fondamentaux et la Convention européenne de sauvegarde des droits de l’homme et Libertés fondamentales. De plus, elles sont soumises au contrôle judiciaire de la Cour européenne des Justice et Cour européenne des droits de l’homme. En cas de situation d’urgence, il convient également de strictement limité à la durée de l’urgence. »

Ainsi, s’agissant des projets de collecte massive de données de géolocalisation, le CEPD précise que si elles souhaitent géolocaliser des individus par exemple pour leur envoyer des messages de santé publique dans une zone spécifique par téléphone ou message texte, « les autorités publiques doivent d’abord chercher à traiter les données de localisation de manière anonyme (c’est-à-dire traiter des données agrégées de manière à ce que les individus ne puissent être ré-identifiés), ce qui pourrait générer des rapports sur la concentration d’appareils mobiles à un certains endroits ».

Un tel traitement « devrait être soumis à un contrôle et à des garanties renforcés pour garantir le respect des principes de protection des données (proportionnalité de la mesure en termes de durée et de portée, limitation conservation des données et limitation de la finalité) ».

On ne parle donc pas ici de constituer un fichier des malades par croisement avec des données de santé collectées par ailleurs, pour suivre spécifiquement les individus atteints par la covid-19, mais de diffuser des informations sanitaires afin de faire respecter les mesures de confinement ou de distanciation sociale.

Si la loi devait être choisie pour fonder de tels traitements, alors la collecte de données qui demeurent identifiantes doit impérativement respecter les principes de proportionnalité et de pertinence du RGPD, et donner lieu à une information renforcée des personnes incluant le droit à un recours juridictionnel en cas d’abus.

Cela signifie que l’Etat qui voterait une telle loi devra nécessairement assortir les collectes et traitements de dispositions très claires sur la durée maximale desdits traitements, sur les finalités limitatives pour lesquelles elles seront collectées, et sur les seuls services et personnels habilités à accéder à ces données.

De plus, imposer à l’ensemble de la population le recours à une application en dépit de la fracture numérique, placerait ipso facto certaines catégories de population hors la loi, tout simplement parce qu’elles ne pourront pas l’utiliser ou s’y conformer correctement.

De toute façon, à ce jour, l’Etat ne prévoit pas de rendre obligatoire le recours aux applications de « contact tracing ». On en revient donc aux deux possibilités précédentes : l’anonymisation réelle et définitive des données collectées dès leur collecte, ou le consentement éclairé préalable de chaque personne.

 

(…)

(c) Shutterstock