Dans la lutte contre le Covid-19, plusieurs pays d’Asie ont exploité les données de géolocalisation de leurs citoyens pour suivre la progression du virus. Envisagée par certains Etats européens pour accompagner la sortie du confinement, cette solution fait débat au regard de la protection des données personnelles. Interrogée par Toute l’Europe, l’eurodéputée néerlandaise Sophie in ‘t Veld appelle à la vigilance.
En moins de cinq mois, la pandémie de Covid-19 a réussi le triste exploit de contraindre la moitié de la population mondiale à se confiner. Pour éviter la transmission de cette maladie très contagieuse, de nombreux Etats ont mis en place des mesures de distanciation sociale plus ou moins contraignantes.
En Asie, d’où est partie l’épidémie, plusieurs pays avaient associé au confinement plus ou moins sévère de leur population, la surveillance numérique des déplacements : c’est notamment le cas de la Corée du Sud, de Taïwan ou de Singapour. Israël a également opté pour un traçage numérique des contaminés, tandis que la Russie, comme la Chine, a mis en place un système de surveillance vidéo par reconnaissance faciale. Les pays d’Asie ayant contenu la première vague du virus avec succès, plusieurs pays européens voient en l’usage des données de géolocalisation un exemple à suivre pour endiguer à leur tour la maladie, ou pour accompagner un déconfinement progressif.
En Belgique, en Allemagne, en Autriche, en France, en Italie ou encore en Espagne, les opérateurs mobiles ont accepté de communiquer les données de géolocalisation anonymisées de leurs abonnés aux gouvernements. Celles-ci permettent d’établir des cartes afin d’évaluer le respect des mesures de confinement, et les déplacements massifs de population. Elles ne ciblent toutefois pas les individus, mais fournissent des données agrégées par zone géographique, par exemple par commune. Dans des zones urbaines comme celles de Madrid ou Milan, les opérateurs téléphoniques ont également fourni des « heat maps« , des cartes permettant d’évaluer l’efficacité des mesures de confinement par quartiers, rapporte le Financial Times.
D’autres pays, comme la Slovaquie, utilisent pour leur part les données non pas de groupes mais d’individus, afin de s’assurer du respect du confinement. En Pologne, le gouvernement propose l’usage d’une application qui impose aux citoyens placés en quarantaine d’attester de leur confinement grâce à des selfies géolocalisés. Cette méthode, sur la base du volontariat, se veut être une alternative aux contrôles aléatoires de police au domicile du confiné.
D’autres alternatives, comme celle développée par Google et Apple outre-Atlantique, mais aussi par le gouvernement français, doivent permettre d’alerter les individus ayant été en contact avec un malade du Covid-19. Ces applications fonctionneraient sur la base du volontariat, en exploitant les données de géolocalisation des smartphones.
Si la plupart des structures prônant l’usage des données personnelles se défendent de toute intrusion dans la vie privée des individus, la difficile anonymisation de ces données à caractère sensible et le flou juridique qui entoure ces mesures suscite la controverse en Europe, où le RGPD (Règlement général sur la protection des données) encadre strictement l’usage des données personnelles. La question inquiète particulièrement l’eurodéputée néerlandaise Sophie in ‘t Veld, spécialiste de la protection des data, interrogée par Toute l’Europe : « Je suis tout à fait favorable à l’utilisation de la technologie pour suivre la progression du virus. Cependant, je ne pense pas que la manière dont la Chine a exploité cette technologie soit appropriée« .
Des mesures… démesurées ?
A l’heure où les mesures de confinement portent leurs premiers fruits, certains estiment que l’exploitation des données de géolocalisation des citoyens peut constituer une alternative à la distanciation sociale généralisée, et permettre de prévenir une seconde vague épidémique à la levée du confinement. Sophie in ‘t Veld reste cependant mesurée : « même si l’on contrôle le moindre mouvement de chaque citoyen, c’est le comportement des individus qui vient à bout de la pandémie, pas leur surveillance« . Pour l’eurodéputée, une mesure ayant de telles implications en termes de vie privée doit être pesée et réfléchie : « Existe-t-il d’autres moyens permettant d’atteindre le même résultat ou des résultats équivalents ? Le même but peut-il être atteint à l’aide de mesures moins intrusives ? Je crois que c’est possible (…) Il existe d’autres méthodes de suivi plus respectueuses de la vie privée tout aussi efficaces« .
Les stratégies de sortie de crise sont en effet variées en Europe, où chaque gouvernement avance ses propositions, et son calendrier. Les méthodes de géolocalisation groupée employées par la France, l’Italie ou l’Espagne, par exemple, permettraient de bénéficier d’un suivi préservant l’anonymat des citoyens. Mais l’incertitude demeure : les gouvernements « ne sont pas vraiment transparents à ce sujet« , s’inquiète Sophie in ‘t Veld. « Ils n’informent pas assez leur population, restent flous sur le type de données collectées, les personnes qui y ont accès, où elles sont stockées ou traitées… Ils assurent que ces données seront anonymes, mais ne sont pas transparents sur la manière dont ils entendent les anonymiser« . Une anonymisation qui semble d’ailleurs difficile à réaliser : une étude de l’Imperial College de Londres et de l’Université Catholique de Louvain a montré que 99,8 % des individus pouvaient être identifiés sur la seule base de leurs données de géolocalisation, même anonymisées.
Appliquer la réglementation européenne
Si la réglementation européenne n’impose pas l’anonymat des données personnelles, elle encadre en revanche leur usage, et oblige en particulier les structures de traitement de données (entreprises, associations ou pouvoirs publics) à obtenir le consentement des utilisateurs à l’utilisation de celles-ci. Le RGPD définit en outre les données dites « à caractère sensible » : celles-ci incluent les informations permettant d’identifier les opinions politiques, l’orientation sexuelle des individus, ou encore les données à caractère médical ou biométrique, qui peuvent être concernées par le suivi numérique des contaminés.
Au-delà de la protection des données sensibles, le RGPD donne le droit aux citoyens de réclamer des informations claires et compréhensibles sur les personnes traitant leurs données, sur le type de données traitées, sur la raison pour laquelle elles sont traitées, ou encore d’obtenir l’accès aux données à caractère personnel qu’une organisation détient sur eux. Il garantit également le droit d’obtenir la transmission de ses données à caractère personnel d’un prestataire de service à un autre. C’est ce qu’on appelle la « portabilité des données ». Il établit enfin le « droit à l’oubli » : toute personne peut dorénavant demander que ses données à caractère personnel soient supprimées par la structure les exploitant.
Le RGPD prévoit toutefois l’utilisation des données personnelles sans consentement lorsque des situations exceptionnelles l’exigent (comme en cas d’épidémie). Le règlement est donc adapté aux circonstances, et est suffisant pour garantir la protection des données des citoyens, estime Sophie in ‘t Veld.
Mais un texte de loi ne fait pas tout : « son efficacité dépend de la manière dont il est appliqué, de la force des autorités de protection des données, et de la volonté politique« , nuance la Néerlandaise. En effet, le respect de la réglementation européenne passe principalement par les autorités de protection des données, au niveau européen comme national (en France, la CNIL est chargée de faire respecter le RGPD). « Même au plus fort d’une crise sans précédent, ces dernières font leur travail de contrôle« , reconnaît Sophie in ‘t Veld. Mais l’efficacité de ce contrôle dépend des capacités dont disposent ces autorités, un sujet au cœur des inquiétudes depuis l’entrée en vigueur du RGPD, le 25 mai 2018. Cette crise fera office de crash test : « nous verrons désormais si elles ont assez de puissance« .
Vigilance
Si les Etats et les dirigeants politiques semblent majoritairement favorables à un tel usage des données, les autorités indépendantes des Etats membres s’inquiètent de décisions précipitées en la matière : en Allemagne ou en Italie, elles ont invité les décideurs politiques à la prudence.
Ces instances ont en effet pour mission de contrôler l’action des Etats et autres puissances publiques, en particulier en temps de crise, pour prévenir les potentiels abus au nom de l’urgence, et jouer un rôle de contre-pouvoir. Ainsi, dans un souci de démocratie et de protection des libertés fondamentales, les autorités de protection des données insistent pour un usage mesuré des données personnelles : « cet usage doit être limité dans le temps, et doit être réalisé de manière transparente (…) Même si le RGPD permet l’usage des données personnelles dans des circonstances exceptionnelles, il doit y avoir une base légale claire. Dans beaucoup d’Etats membres, ce n’est pas forcément le cas« , prévient Sophie in ‘t Veld. Plusieurs organismes et ONG s’inquiètent également des abus pouvant découler de cette pratique : « aucune mesure extraordinaire utilisée pour une crise spécifique ne doit devenir quelque chose de permanent dans le paysage des intrusions gouvernementales dans la vie quotidienne », avertit l’ONG Electronic Frontier Foundation.
La Commission européenne doit à cet effet présenter une « boîte à outils » encadrant les applications de suivi de l’épidémie. Le commissaire au Marché intérieur, Thierry Breton, a d’ores et déjà exclu tout recours à un usage obligatoire de ces applications, et souhaite confier le traitement de ces données aux autorités de santé uniquement. Mais pour Sophie in ‘t Veld, l’exécutif européen doit encore faire ses preuves : pour l’instant, « au lieu de contrôler ce que font les Etats, la Commission européenne fait en réalité la même chose qu’eux, et leur facilite la tâche ». La Commission a en effet réclamé les données groupées des fournisseurs télécom dans tous les Etats membres. Le Parlement européen suit de près cette décision : « nous avons demandé à la Commission de clarifier les bases légales de cette proposition, les garanties de sécurité, et la manière dont elle entend anonymiser ces données ; nous n’avons pas encore eu de réponse à ce sujet. Nous avons également écrit au Contrôleur européen de la protection des données et au Comité européen de la protection des données« , indique l’eurodéputée. Le Contrôleur européen de la protection des données a justement appelé au développement d’une application paneuropéenne de suivi de l’épidémie, rapportait le 6 avril dernier L’Usine Nouvelle avec Reuters.
Sophie in ‘t Veld s’inquiète ainsi de voir Bruxelles faillir à son rôle de contre-pouvoir : « la Commission est faible face aux Etats membres : ils n’ont jamais voulu d’une Commission forte. (…) Or en démocratie, les contrepouvoirs sont essentiels, et il est parfois nécessaire d’être une nuisance« . « Nous devons être très vigilants« , conclut la députée européenne.
Sophie in ‘t Veld est eurodéputée depuis 2004, tête de liste du parti libéral néerlandais Democrats66. Vice-présidente du groupe Renew Europe, elle est membre de la commission des libertés civiles, de la justice et des affaires intérieures. Elle s’est illustrée dans la protection des données personnelles, en défendant une stricte application du RGPD face aux abus de plusieurs gouvernements et entreprises.
Léo Lictevout