La protection des données personnelles en situation de crise sanitaire exceptionnelle. L’hypothèse du traçage géographique des citoyens à fin de lutte épidémique

De récents travaux de recherche en mathématiques prédisent la possibilité de mettre un terme à l’épidémie de Covid‑19 en procédant au traçage géographique des citoyens au moyen de leur téléphone mobile. Face au défi éthique que constitue le choix de recourir ou non à un tel traitement de donnés à caractère personnel, c’est aux autorités publiques qu’il appartient, en toute responsabilité, de trancher. Néanmoins, la marge d’appréciation dont celles‑ci disposent ne doit pas les conduire à remettre en cause certains fondements de la démocratie libérale.

Par Yoann Gonthier Le Guen, Doctorant en droit public, Université Paris‑Saclay, IEDP (EA 2715)

À la suite des annonces faites par le président de la République le 16 mars 2020, nombreux sont les citoyens qui ont reçu un SMS signé du Gouvernement[1]. L’État aurait‑il mis la main sur les numéros de téléphone mobile de l’ensemble de la population ? Tout cela est‑il bien légal ? À cette dernière question, il convient de répondre, sans équivoque, par l’affirmative car cet envoi constituait l’une des modalités possibles pour l’État de satisfaire à son obligation légale, en tant que « garant de la (…) sécurité civile au plan national »[2] de « (…) veiller à la mise en œuvre des mesures d’information et d’alerte des populations »[3]. Aussi intrusive qu’elle puisse paraître, cette technique ne constitue aucunement une menace pour la vie privée. Les opérateurs de téléphonie, agissant sur ordre de l’État et comme les y oblige la loi[4], ont simplement adressé un message à l’ensemble de leurs abonnés sans qu’il ne soit nécessaire de communiquer les données de ces derniers aux autorités[5].

En revanche, une autre solution technologique, bien plus inquiétante du point de vue du droit au respect de la vie privée, est envisagée[6]. Fort des résultats de ses travaux de modélisation mathématique, une équipe de chercheurs du Big Data Institute de l’Université d’Oxford conclut que l’acceptation, par un nombre suffisamment large de personnes, d’un traçage instantané des contacts au moyen du téléphone mobile[7] permettrait de stopper la propagation du virus SARS‑CoV‑2. Pour ce faire, le dispositif préviendrait automatiquement l’ensemble des contacts récents de toute personne infectée[8]. Si l’équipe préconise le recours à une application mobile[9], rien n’exclut qu’un État préfère à cette solution un traçage reposant sur les données collectées par les opérateurs de téléphonie.

À l’heure où les médias apparaissent plus que jamais comme les « “chiens de garde” de la démocratie »[10], ceux‑ci rapportent que le traçage géographique des citoyens à des fins de lutte épidémique est déjà mis en œuvre dans quelques pays d’Asie tels que la Chine, Taïwan et Singapour tandis que le projet est en cours de déploiement en Israël[11]. Bien que cette pratique a d’ores et déjà donné lieu à de graves violations de la vie privée[12], les États‑Unis étudient eux aussi l’usage qui pourrait être fait d’une telle technologie[13]. Pour le moment, la France, par la voix de son Gouvernement, se refuse à envisager cette hypothèse[14]. Et la Garde des Sceaux de promettre, le 26 mars 2020, « une très grande vigilance sur tout ce qui touche aux données personnelles »[15].

Pourtant, la veille, Martin Untersinger, journaliste au Monde dévoilait que la Commission européenne a demandé aux opérateurs de téléphonie, dont Orange France, la communication de données agrégées afin de vérifier le respect des mesures de confinement et d’anticiper les pics de contamination[16]. Et c’est là qu’il convient d’être prudent en ne confondant pas deux types de traitements de données de localisation possibles. Celui mis en œuvre par la Commission européenne, contrairement à celui qui fait l’objet de la présente contribution, porte sur des données agrégées et dont l’anonymat a été confirmé par le Contrôleur européen de la protection des données[17]. Une telle utilisation de données épidémiologiques, injectées au besoin dans des systèmes d’information géographique, n’est pas nouvelle[18]. Elle ne pose pas davantage de problème de légalité puisque des données anonymisées perdent leur caractère personnel, emportant ainsi l’inapplicabilité des textes relatifs à la protection de la vie privée[19]. La véritable innovation se situe dans l’hypothèse évoquée précédemment et conduisant à traiter des données individuelles.

Avant de poursuivre plus avant ce raisonnement, peut‑être convient‑il de rappeler qu’une donnée n’est qu’une « représentation d’une information sous une forme conventionnelle destinée à faciliter son traitement. »[20] Elle ne devient personnelle que lorsqu’elle peut‑être reliée directement ou indirectement à une personne physique identifiée ou identifiable[21]. Quant à la protection des données à caractère personnel, elle est l’une des composantes du droit au respect à la vie privée, laquelle fait l’objet de multiples protections[22].

Ainsi, la protection des données à caractère personnel, par la protection des informations relatives à la localisation constitue, plus particulièrement en cette période de crise, un support nécessaire à la garantie d’autres droits et libertés fondamentaux, parmi lesquels figurent la liberté d’aller et venir ou encore le droit à une vie familiale.

Dans la mesure où chacun est censé être à son domicile en cette période, les données de localisation[23] ne semblent pas pouvoir être anonymisées si elles sont traitées individuellement. En effet, par corrélation des données issues des listes d’abonnés au réseau téléphonique[24] avec celles présentes dans la Base adresse nationale[25], il est assez trivial d’identifier un individu à partir de sa position géographique, du moins pour ceux occupant une habitation individuelle. La seule solution d’anonymisation semble être l’agrégation[26].

Néanmoins, dans l’hypothèse où le Gouvernement, tel Richard dans La Peste de Camus, déciderait de prendre « la responsabilité d’agir comme si la maladie était une peste »[27] et, ainsi, d’employer tous les moyens technologiques à sa disposition, pourrait‑il légalement imposer le traçage géographique du citoyen à des fins de lutte épidémique ?

La maladie étant propagée par les contacts entre personnes et le respect insuffisant des mesures de distanciation sociale, un tel traitement de données est manifestement approprié. Est‑il pour autant proportionné ?

Tandis que les traitements algorithmiques et les décisions automatisées montent en puissance ; « Est‑ce qu’au fond, ce qui fait peur, dans la doctrine que je vais essayer de vous exposer, ce n’est pas le fait qu’elle laisse une possibilité de choix à l’homme ? »[28]

La réponse est avant tout éthique. Gouverné par le principe de responsabilité, le droit de la protection des données laisse présentement le choix aux pouvoirs publics entre approche déontologique ou conséquentialiste.

Au‑delà du risque de compromission de données de santé, ce traitement exposerait de nombreuses autres données sensibles. Par la connaissance des lieux et individus fréquentés ainsi que de la durée associée à ces contacts, la collecte en temps réel de la position géographique d’une personne est susceptible de dévoiler son orientation sexuelle, son appartenance politique, syndicale ou religieuse. Au regard de ce risque, la possibilité en droit positif de tracer la population à grande échelle dans une finalité de lutte épidémique (I) impose la définition d’un cadre éthique constitué de garanties juridiques renforcées (II).

I. La possibilité en droit positif de tracer la population à grande échelle dans une finalité de lutte épidémique

À titre liminaire, il convient d’écarter l’application de la Directive dite Police‑Justice[29] au profit du Règlement général sur la protection des données (RGPD). En effet, le Conseil d’État considère la finalité comme la clé primaire de répartition lorsqu’un traitement a plusieurs objets. Ainsi, même dans l’hypothèse où le traitement projeté comporterait plusieurs objets dont l’un serait répressif – ce qui n’est aucunement souhaitable – ce second objet serait nécessairement accessoire[30].

Tout d’abord, il convient de rappeler ce qui constitue l’une des dispositions essentielles du RGPD : le traitement des données dites sensibles est en principe interdit[31]. Or, les données de santé appartiennent à cette catégorie. Néanmoins le texte ménage une marge de manœuvre aux États[32] et reconnaît des exceptions.

La première est le consentement explicite de la personne concernée[33]. La seconde est la prévalence d’intérêts supérieurs. Ce peut être le cas lorsque le traitement est « nécessaire pour des motifs d’intérêt public », notamment dans le domaine de la santé publique[34] ou encore lorsqu’il poursuit « des fins liées à la santé, lorsque cela est nécessaire pour atteindre ces finalités dans l’intérêt des personnes physiques et de la société dans son ensemble »[35]. En ce sens, et de manière tout à fait explicite, le règlement européen admet la licéité d’un traitement mis en œuvre « pour suivre des épidémies et leur propagation »[36] ainsi que la possibilité de déroger aux droits que consacre ce texte, dans l’hypothèse de « menaces transfrontalières graves pesant sur la santé »[37]. Le traitement envisagé pourrait ainsi être mis en œuvre par l’autorité publique, sans que ne soit requis le consentement des personnes concernées[38]. Il trouverait son fondement de licéité dans l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement[39], à condition d’être prévu par un texte de droit interne.

En situation de crise sanitaire exceptionnelle, le Gouvernement pourrait fonder le traitement sur le nouveau régime instauré par la Loi d’urgence pour faire face à l’épidémie de Covid‑19[40]. Qualifiée de « loi scélérate »[41] par l’avocat pénaliste Raphaël Kempf, cette nouvelle norme prévoit un arsenal de mesures rédigées en des termes très généraux. Elle autorise notamment le Premier ministre à « ordonner des mesures ayant pour objet la mise en quarantaine (…) des personnes susceptibles d’être affectées »[42] ainsi que d’« ordonner la réquisition de tous biens et services nécessaires à la lutte contre la catastrophe sanitaire ainsi que de toute personne nécessaire au fonctionnement de ces services ou à l’usage de ces biens. »[43] Il existe toutefois une exigence quant à la finalité de ces actions – elles doivent « garantir la santé publique »[44] – ainsi qu’une condition – elles doivent être « strictement proportionnées aux risques sanitaires encourus et appropriées aux circonstances de temps et de lieu »[45] De plus, il doit y être mis « fin sans délai lorsqu’elles ne sont plus nécessaires. »[46] Par la similitude de son vocabulaire avec celui du RGPD, ce texte apparaît comme le fondement juridique idéal en droit interne de l’acte de création du traitement envisagé.

Ensuite, un refus de l’Administration de mettre en œuvre des mesures ou moyens pourtant appropriés pourrait faire l’objet d’un recours devant le Conseil d’État. Procédant à un inversement de paradigme, la haute juridiction, pourtant saisie d’un référé‑liberté, a récemment enjoint le Gouvernement d’aggraver une mesure restrictive de liberté. Ainsi le Conseil d’État fait le choix de protéger prioritairement la santé publique – et, partant le droit à la vie – plutôt que la liberté d’aller et venir[47], illustrant ainsi que : « (…) dans les cas où la nécessité impose une formule universelle mais qu’on ne peut la libeller correctement, la loi prend alors en compte ce qui arrive le plus fréquemment, sans ignorer ce qu’elle laisse de côté. »[48]

Si pareil recours venait à être formé dans l’objectif que soit mis en œuvre un traçage géographique des citoyens à fin de lutte épidémique, les prétentions du requérant auraient d’autant plus de chance d’être accueillies favorablement que le Conseil d’État a déjà, par le passé, accepté d’examiner une preuve mathématique[49].

En toute hypothèse, même si le Gouvernement venait à retenir l’approche conséquentialiste que constitue l’hypothèse d’un traçage géographique des citoyens à des fins de lutte épidémique, il ne pourrait pas s’affranchir de toute déontologie[50]. En plus de veiller scrupuleusement au respect des principes de privacy by default et de privacy by design dans la conception de son traitement[51], il devrait également accepter de l’inscrire dans un cadre éthique constitué de garanties juridiques renforcées.

II. La nécessaire définition d’un cadre éthique constitué de garanties juridiques renforcées

Les enjeux en présence devraient conduire à l’adoption de garanties juridiques renforcées. Ces dernières auraient pour rôle de mettre en œuvre des outils de contrôle effectifs afin de venir rééquilibrer les forces en présence au profit de la personne concernée par ce traitement de données sensibles à une échelle inédite.

Préalablement à toute mesure, il va sans dire que le Comité consultatif national d’éthique, dont la compétence s’impose[52], devrait être saisi pour avis[53]. De même qu’une analyse d’impact relative à la protection des données devrait être réalisée[54]. Au‑delà, et de manière plus contraignante, le législateur devrait prévenir le détournement de ces données, notamment par les employeurs, les compagnies d’assurance ou encore les banques[55]. Cela se traduirait par l’interdiction absolue de prendre toute décision juridique défavorable à la personne concernée sur le fondement des données qui viendraient à être compromises[56], et ce malgré les mesures de sécurisation[57] drastiques qui devraient nécessairement être adoptées.

Puisque, comme l’explique Feten Ben Fredj, les « [détenteurs] de données se trouvent (…) dans une situation qui exige de satisfaire deux buts contradictoires : respecter la confidentialité des données et, en même temps, préserver leur utilité »[58], le plus prudent serait de veiller à ce que les données traitées ne puissent aucunement constituer un actif économique au profit des acteurs privés qui seraient retenus en qualité de sous‑traitant. Ainsi, ces derniers devraient être choisis en dehors de la sphère d’entreprises dont les revenus dépendent pour tout ou partie de l’exploitation de données à caractère personnel.

Durant toute la période de mise en œuvre du traitement, la Commission nationale de l’informatique et des libertés (CNIL) devrait être en mesure d’en assurer le contrôle effectif. En particulier, il devrait être garanti à ses agents chargés des contrôles de pouvoir passer et circuler librement en tout point du territoire. En cas de constatation d’infractions pénales à l’occasion d’un contrôle, il serait souhaitable que les membres du collège de cette autorité administrative indépendante renoncent à leur doctrine consistant à ne pas saisir le parquet, et ce quand bien même le Conseil d’État reconnaît la légalité d’un tel renoncement[59]. De plus, la particulière sensibilité du traitement justifierait que la CNIL saisisse le Conseil d’État d’un référé en matière d’informatique et libertés[60] afin de lui demander « d’ordonner, le cas échéant sous astreinte, toute mesure nécessaire à la sauvegarde »[61] des droits et libertés, dans l’hypothèse où ces derniers seraient méconnus.

Quant au Parlement, celui‑ci devrait pleinement s’approprier son droit à être tenu informé et celui de requérir des informations complémentaires[62]. À plus long terme, il serait souhaitable que soit mis en œuvre une mission d’information parlementaire puis, en cas de besoin, une commission d’enquête.

Peut‑être la solution idéale en termes de droit et libertés serait‑elle de renoncer tout simplement à la faculté de s’affranchir du consentement[63] et de rendre le suivi facultatif en comptant sur le volontariat[64] qui serait inspiré par le civisme[65] de chacun. De plus, ce choix permettrait d’associer de manière étroite la personne concernée au contrôle du traitement[66] procédant à son traçage géographique. Pour ce faire, la solution technique retenue devrait s’appuyer sur des logiciels libres et à code source ouvert[67] afin de permettre au propriétaire du téléphone d’en avoir le plein contrôle et, par là même, de conserver la maîtrise de ses données de localisation. La transparence ainsi garantie par ces logiciels permettrait à la personne concernée de vérifier que les données collectées soient « adéquates, pertinentes et limitées à ce qui est nécessaire »[68] au regard des finalités pour lesquelles elles sont traitées. Autrement dit, qu’elles respectent le principe de minimisation[69]. Ce pouvoir redonné au propriétaire du téléphone lui faciliterait l’exercice de ses droits, dans l’hypothèse où ses données viendraient à être détournées[70].

⁂

Décider d’un traçage géographique des citoyens à fin de lutte épidémique constitue un acte éminemment politique et particulièrement attentatoire aux droits et libertés individuels. Tout comme le scientifique, le juriste a pour rôle d’éclairer la décision publique sans s’y substituer.

Néanmoins, il est possible de tracer une ligne rouge au‑delà de laquelle une démocratie libérale ne devrait pas s’aventurer.

Premièrement, un tel dispositif de traçage ne doit pas conduire à une stigmatisation, laquelle entraînerait inévitablement une exclusion sociale, dont pourrait notamment résulter la restriction de l’accès à un service comme cela a pu être le cas en Chine avec la « classification systématique de la population en fonction d’un critère de santé »[71] comme l’a relevé l’avocate Zoé Vilain. Sans recourir à une solution technologique, la France s’est engagée quelque peu sur cette voie en autorisant les conducteurs de taxi et de voitures de transport avec chauffeur « à refuser l’accès du véhicule à une personne présentant des symptômes d’infection au Covid‑19 »[72].

Deuxièmement, un tel traitement de données ne doit pas conduire à la mise en œuvre d’une automatisation de la sanction pénale à l’égard des personnes qui contreviendraient à l’interdiction de « tout déplacement (…) hors de son domicile »[73] ou qui s’affranchiraient des mesures de distanciation sociale. Cette hypothèse est déjà une réalité « en Corée du Sud, à Taiwan ou en Israël, où les données téléphoniques permettent aux autorités de détecter et d’identifier les personnes ne respectant pas les mesures de confinement et, le cas échéant, de les sanctionner. »[74] Autant dire qu’« ils ne mouraient pas tous, mais tous étaient frappés. »[75]

Aurélie Palud relève que la fragilité, « particulièrement exhibée dans le récit d’épidémie, (…) conduit à poser le principe éthique de la responsabilité. »[76]

Cette notion de responsabilité a présentement une double résonance puisqu’à la responsabilité du responsable de traitement de données vient se superposer celle du représentant, auquel le représenté ne manquera pas de demander compte[77].

Déjà en 1822, François‑Emmanuel Fodéré, dans ses Leçons sur les épidémies et l’hygiène publique constatait ce qui suit. « Que l’auguste vérité est difficile à trouver ! Je la cherche dans les palais des rois, aux tribunes nationales, dans l’enceinte des tribunaux, dans les assemblées académiques, dans les livres des philosophes, dans les écrits des médecins… »[78] Si le politique a tout loisir de consulter, c’est à lui, en définitive, et en sa qualité d’élu de la République, que revient de décider de l’éthique à adopter face aux circonstances sanitaires exceptionnelles. Peut‑être l’article 1^er de la Loi dite Informatique et libertés pourra‑t‑il guider son choix : « L’informatique doit être au service de chaque citoyen. (…) Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques »[79].

[1]Untersinger M., « Coronavirus : comment le gouvernement a fait parvenir un SMS d’avertissement aux Français », Le Monde (édition numérique) 17 mars 2020 [consulter en ligne].

[2]CSI, art. L. 112‑2, al. 1^er.

[3]Ibid.

[4]CPCE, art. L. 33‑1, notamment f bis.

[5]Une telle communication n’est possible que dans le cadre de « missions judiciaires ou d’interventions de secours » (CPCE, art. L. 33‑1, V).

[6]Untersinger M., « Contre la pandémie due au coronavirus, de nombreux pays misent sur la surveillance permise par le “big data” », Le Monde (édition numérique) 20 mars 2020 [consulter en ligne].

[7]L’implémentation proposée par l’équipe du Big Data Institute a pour objectif de préserver l’anonymat des personnes infectées.

[8]Ferretti L., Wymant C., Kendall M., Zhao L., Nurtay A., Abeler‑Dörner L., Parker M., Bonsall D. et Fraser C., « Quantifying SARS‑CoV‑2 transmission suggests epidemic control with digital contact tracing », Science 31 mars 2020, doi : 10.1126/science.abb6936.

[9]Ibid. : « A delay from confirming a case to finding their contacts is not, however, inevitable. Specifically, this delay can be avoided by using a mobile phone App. »

[10]CEDH, 3^e sect., 7 juin 2007, n^o 1914/02, X. et autres contre France, ECLI:CE:ECHR:2007:0607JUD000191402.

[11]Timberg C. et Harwell D., « Government efforts to track virus through phone location data complicated by privacy concerns », The Washington Post (édition numérique) 19 mars 2020 [consulter en ligne].

[12]Nemo K., « ‘More scary than coronavirus’ : South Korea’s health alerts expose private lives », The Guardian (édition numérique) 6 mars 2020 [consulter en ligne].

[13]Romm T., Dwoskin E. et Timberg C., « U.S. government, tech industry discussing ways to use smartphone location data to combat coronavirus », The Washington Post (édition numérique) 18 mars 2020 [consulter en ligne].

[14]Murielle Pénicaud, membre du Gouvernement s’est opposée à l’amendement déposé par les sénateurs Patrick Chaize et Bruno Retailleau proposant d’inscrire dans la loi d’urgence l’autorisation de « toute mesure visant à permettre la collecte et le traitement de données de santé et de localisation » (Sénat, compte‑rendu intégral des débats, séance du 19 mars 2020 [consulter en ligne], à paraître au Journal Officiel). Olivier Véran, ministre de la Santé, a laissé paraître son opposition au « tracking » lors d’une réponse à une question que lui posait la députée Danièle Obono (Assemblée nationale, compte‑rendu intégral des débats, séance du 24 mars 2020 [consulter en ligne], à paraître au Journal Officiel). Le discours gouvernemental s’est toutefois quelque peu infléchi par la suite ; si la géolocalisation des personnes est toujours exclue, l’hypothèse d’un traçage de l’historique des relations sociales est désormais envisagée (Untersinger M., Hecketsweiler C., Béguin F. et Faye O., « “L’application StopCovid retracera l’historique des relations sociales” : les pistes du gouvernement pour le traçage numérique des malades », Le Monde (édition numérique) 8 avr. 2020 [consulter en ligne]).

[15]Demorand N., « Nicole Belloubet : “Il n’est pas question que l’état d’urgence sanitaire entre dans le droit commun” », France Inter 26 mars 2020, « L’invité de 8 h 20 : Le grand entretien » [consulter en ligne]. Pour sa part, le Défenseur des droits « considère (…) que si cette question devait se poser, il serait nécessaire d’ouvrir un débat devant la représentation nationale ». Tels sont les propos recueillis par Aron M., « Jacques Toubon : “Géolocalisation, je dis : attention !” », L’Obs (édition numérique) 30 mars 2020 [consulter en ligne].

[16]Untersinger M., « Coronavirus : la Commission européenne réclame des données d’opérateurs téléphoniques pour évaluer l’effet des mesures de confinement », Le Monde (édition numérique) 25 mars 2020 [consulter en ligne]. Pour des exemples montrant l’intérêt d’un tel traitement de données, v. Untersinger M., « Confinement : plus d’un million de Franciliens ont quitté la région parisienne en une semaine », Le Monde (édition numérique) 26 mars 2020 [consulter en ligne] ; Untersinger M., « Pourquoi les données téléphoniques aident à comprendre la pandémie de Covid‑19 », Le Monde (édition numérique) 27 mars 2020 [consulter en ligne].

[17]Untersinger M., « Coronavirus : la Commission européenne réclame des données d’opérateurs téléphoniques pour évaluer l’effet des mesures de confinement », op. cit. Le caractère agrégé et anonymisé de ces données a été confirmé par le Commissaire européen au marché intérieur Thierry Breton (Salamé L. et Demorand N., « Thierry Breton : “Aucun pays n’a prévu cette crise, aucun pays n’y était préparé” », France Inter 2 avr. 2020, « L’invité de 8 h 20 : Le grand entretien » [consulter en ligne]). L’opérateur Orange a également transmis des données agrégées et anonymisées à l’Institut national de la santé et de la recherche médicale (INSERM) afin de permettre à ce dernier de mener des recherches statistiques (INSERM (salle de presse), « Les statistiques issues du réseau de téléphonies mobiles au service de la lutte contre la pandémie de Covid‑19 », Communiqué 27 mars 2020 [consulter en ligne]). Pour d’autres exemples de transmission de données statistiques, v. Untersinger M., « Coronavirus : le risque est d’entrer dans “une nouvelle ère de surveillance numérique invasive” », Le Monde (édition numérique) 5 avr. 2020 [consulter en ligne].

[18]Pour une revue des études employant cette technique, v. Smith C. M., Le Comber S. C., Fry H., Bull M., Leach S., Hayward A. C., « Spatial methods for infectious disease outbreak investigations: systematic literature review », Euro Surveill. 2015, 20(39):pii=30026, doi : 10.2807/1560-7917.ES.2015.20.39.30026. Sur la nécessité – et le manque actuel – de données pour alimenter les modèles, v. Larousserie D., « Comment l’épidémiologie tente de cerner l’épidémie due au nouveau coronavirus », Le Monde (édition numérique) 30 mars 2020 [consulter en ligne].

[19]Ainsi, la Présidente du Comité de la Convention 108 et le Commissaire à la protection des données du Conseil de l’Europe rappellent ce qui suit : « Pas plus qu’on ne peut prétendre que le droit à la protection des données est incompatible avec la surveillance épidémiologique, les données anonymisées n’étant pas couvertes par les exigences de la protection des données. » (Pierucci A. et Walter J.‑P., « Déclaration conjointe  sur le droit à la protection de données dans le contexte de la pandémie à COVID‑19 », 30 mars 2020 [consulter en ligne]).

[20]Commission générale de terminologie et de néologie, Répertoire terminologique (Révisions des listes antérieurement publiées), Édition 2000, NOR : CNTX0004228X : JO n^o 0220 (annexe), 22 sept. 2000, p. 42 040.

[21]Règl. (UE) n^o 2016/679 du PE et du Cons., 27 avr. 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l’intérêt pour l’EEE), art. 4, 1, ELI : http://data.europa.eu/eli/reg/2016/679/oj : JOUE L 119, 4  mai 2016, p. 1.

[22]Le droit à la vie privée est notamment protégé par les textes suivants : DUDH, art. 12 ; PIDCP, art. 17 ; Conv. EDH, art. 8 ; Conv. n^o 108 du Conseil de l’Europe, art. 1^er ; CDFUE, art. 7 ; L. n^o 78‑17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés, art. 1^er, al 1^er : JO, 7 janv. 1978, p. 227 ; C. civ., art. 9 ; C. pén., art. 226‑1, CSP, art. R. 4127‑51 et CPCE, art. L 34‑1.

[23]« Par “données de localisation”, on peut entendre la latitude, la longitude et l’altitude du lieu où se trouve l’équipement terminal de l’utilisateur, la direction du mouvement, le degré de précision quant aux informations sur la localisation, l’identification de la cellule du réseau où se situe, à un moment donné, l’équipement terminal, ou encore le moment auquel l’information sur la localisation a été enregistrée. », Dir. (CE) n^o 2002/58/CE du PE et du Cons., 12 juill. 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques), cons. 14, ELI : http://data.europa.eu/eli/dir/2002/58/oj : JOUE L 201, 31 juill. 2002, p. 37.

[24]Prévu par le CPCE, art. R. 10.

[25]Prévue par le CRPA, R. 321‑5, 6^o et accessible librement sur la Plateforme ouverte des données publiques françaises [consulter en ligne].

[26]Agrégation qui devra être calibrée avec précision afin d’atteindre l’objectif d’anonymisation. Le recours à la propriété mathématique k‑anonymity peut présenter un intérêt dans cette optique. Le logiciel d’anonymisation Amnesia, développé dans le cadre du projet OpenAIRE‑Advance bénéficiant d’un financement « Horizon 2020 » de l’Union européenne, en propose une implémentation. L’agrégation devra regrouper les données de plusieurs individus. En effet, l’anonymisation par l’agrégation des données spatio‑temporelles de déplacement à l’échelle individuelle (c’est‑à‑dire en conservant le tracé de chaque personne mais en réduisant la granularité de la localisation et de l’heure associée) est extrêmement difficile à atteindre. En ce sens, v. de Montjoye A., Hidalgo C. A., Verleysen M. et Blondel V. D., « Unique in the Crowd: The privacy bounds of human mobility », Sci. Rep. 2013, 3, 1376, doi : 10.1038/srep01376.

[27]Camus A., La Peste, 1947, Paris, Gallimard, Folio, Texte intégral, t. 42, 279 p., p. 53, ISBN : 2‑07‑036042‑3 [notice].

[28]Sartre J.‑P., L’existentialisme est un humanisme, 1996, Paris, Gallimard, Folio, Essais, 109 p., p. 25, ISBN : 978‑2‑07‑032913‑7 [notice].

[29]Dir. (UE) n^o 2016/680 du PE et du Cons., 27 avr. 2016, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision‑cadre 2008/977/JAI du Conseil, ELI : http://data.europa.eu/eli/dir/2016/680/oj : JOUE L 119, 4 mai 2016, p. 89.

[30]CE, ass., 19 juill. 2019, n^o 424216, Association des américains accidentels, cons. 18, ECLI:FR:CEASS:2019:424216.20190719 : Lebon, p. 297.

[31]Règl. (UE) n^o 2016/679, op. cit., cons. 51 et art. 9, 1.

[32]Ibid., cons. 10 et 52.

[33]Ibid., art. 9, 2, a).

[34]Ibid., cons. 54.

[35]Ibid., cons. 53.

[36]Ibid., cons. 46.

[37]Ibid., art. 9, 2, i.

[38]Ibid., cons. 54 et art. 9, 2, i.

[39]Ibid., art. 6, e.

[40]Il convient d’exclure d’emblée l’hypothèse d’un recours aux techniques de renseignement. Même si ces dernières permettraient techniquement d’atteindre le résultat escompté, elles ne peuvent être mises en œuvre que si « elles sont justifiées par les menaces, les risques et les enjeux liés aux intérêts fondamentaux de la Nation » (CSI, art. L 801‑1, 4^o). Or, la lutte épidémique ne figure pas dans la liste de ces intérêts (CSI, L. 811‑3).

[41]Kempf R., « Raphaël Kempf : “Il faut dénoncer l’état d’urgence sanitaire pour ce qu’il est, une loi scélérate” », Le Monde (édition numérique) 24 mars 2020, Tribune [consulter en ligne].

[42]CSP, art. L. 3131‑15, 3^o.

[43]Ibid., 7^o.

[44]Ibid., al. 1^er.

[45]Ibid., al. 2.

[46]Ibid.

[47]CE, ord., 22 mars 2020, n^o 439674, Syndicat Jeunes Médecins, ECLI:FR:CEORD:2020:439674.20200322.

[48]Aristote, Éthique à Nicomaque, Livre V, Sur la justice, 2008, Paris, Flammarion, G. F., préf. Agacinski D., trad. Bodéüs R., 126 p., p. 92‑93, 978‑2‑0812‑1769‑0 [notice].

[49]CE, 4^e‑5^e ch. réunies, 16 oct. 2017, n^o 383459, Monsieur E., ECLI:FR:CECHR:2017:383459.20171016 : Lebon T. Dans cette espèce, il s’agissait plus précisément de statistiques visant à établir une discrimination fondée sur l’âge des candidats à un concours d’accès à la fonction publique. En définitive, le calcul de probabilités produit par le requérant n’avait pas convaincu le juge car « repos[ant] sur plusieurs hypothèses statistiques non établies » et portant, qui plus est, sur un « petit nombre de candidats ».

[50]En ce sens, v. UNESCO, Comité international de bioéthique (CIB) et Commission mondiale d’éthique des connaissances scientifiques et des technologies (COMEST), 26 mars 2020, « Déclaration sur le Covid‑19 : Considérations éthiques selon une perspective mondiale », SHS/IBC‑COMEST/COVID‑19 [consulter en ligne] : « Les droits de l’homme devraient toujours être respectés, et les valeurs de vie privée et d’autonomie devraient être soigneusement équilibrées avec les valeurs de sûreté et de sécurité. »

[51]Règl. (UE) n^o 2016/679, op. cit., cons. 78 et art. 25.

[52]CSP, art. L. 1412‑1.

[53]Dans son avis rendu le 13 mars 2020, le Comité consultatif national d’éthique pour les sciences de la vie et de la santé « recommande qu’il soit rappelé impérativement à tous les acteurs, particuliers, soignants, acteurs publics et médias qu’il existe des textes de loi concernant le respect de la confidentialité des données médicales et l’identité des personnes atteintes et qu’elles doivent prévaloir en situation d’épidémie et de menace pour la santé. » (CCNE, 13 mars 2020, Covid‑19, « Contribution du Comité consultatif national d’éthique : Enjeux éthiques face à une pandémie » [consulter en ligne]).

[54]Règl. (UE) n^o 2016/679, op. cit., cons. 84, 91, 94, art. 35 et 36.

[55]En ce sens, v. ibid., cons. 54.

[56]Pour une telle garantie s’agissant de la Plateforme des données de santé, dite Health Data Hub, v. CSP, art. L. 1461‑1, IV, 1^o.

[57]Règl. (UE) n^o 2016/679, op. cit., cons. 39, 78, 83, art. 5, 1, f et 32.

[58]Ben Fredj F., Méthode et outil d’anonymisation des données sensibles, thèse, Comyn‑Wattiau I., Lammari N. et Gargouri F. (dir.), 2017, Paris, CNAM, Informatique, 244 p., p. 179 [consulter en ligne].

[59]CE, sect., 27 oct. 1999, n^o 196306, Monsieur X., ECLI:FR:CESJS:1999:196306.19991027 : Lebon, p. 333. En plus de l’obligation faite à « toute autorité constituée (…) qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit (…) d’en donner avis sans délai au procureur de la République (CPP, art. 40, al. 2), une disposition spéciale figurait à l’art. 21, 4^o de la Loi dite Informatique et Libertés. Elle prescrivait à la CNIL de « dénonce[r] au parquet les infractions dont elle a connaissance, conformément à l’article 40 du code de procédure pénale  ». Cette disposition spéciale ne figure plus dans l’actuelle version de la loi. Ce retrait du législateur rend d’autant moins probable un revirement de jurisprudence de la part du Conseil d’État.

[60]CJA, art R. 555‑1.

[61]L. n^o 78‑17, 6 janv. 1978, relative à l’informatique, aux fichiers et aux libertés, art. 21, IV : JO, 7 janv. 1978, p. 227.

[62]CSP, art. L. 3131‑13, al. 2.

[63]Le Président‑Directeur général d’Orange recommande de recourir au consentement comme fondement de licéité du traitement (Richard S., « Coronavirus : “La deuxième réponse sera technologique”, même “s’il ne s’agit pas d’imposer un contrôle numérique intensif des déplacements” », Le Monde (édition numérique) 1^er avr. 2020, Tribune [consulter en ligne]). En outre, il convient de préciser que la capacité de s’affranchir du consentement ne vaut que pour le traçage par le réseau cellulaire. En effet, l’installation d’une application sur un périphérique, en ce qu’elle a pour effet de stocker et d’accéder à des données dans cet équipement, impose le consentement de la personne concernée (Dir. (CE) n^o 2002/58/CE, op. cit., art. 5, 3).

[64]C’est sur le volontariat que l’équipe du Big Data Institute recommande de s’appuyer : « People should be democratically entitled to decide whether to adopt this platform. » (Ferretti L. et al., op. cit.). Marie‑Laure Denis, Présidente de la CNIL, assure quant à elle qu’« un élément déterminant pour l’appréciation que le collège de la CNIL pourrait porter sur un tel dispositif, outre l’assurance de son caractère provisoire, serait le recueil d’un consentement libre et éclairé de l’utilisateur » (Untersinger M., « Coronavirus : “Les applications de ‘contact tracing’ appellent à une vigilance particulière” », Le Monde (édition numérique) 5 avr. 2020 [consulter en ligne]).

[65]Un premier sondage mené par une équipe de recherche de l’Université d’Oxford conclut qu’une majorité de personnes consentirait au recours à une telle application. V. Untersinger M., « Coronavirus : les Français favorables à une application mobile pour combattre la pandémie, selon un sondage », Le Monde (édition numérique) 1^er avr. 2020 [consulter en ligne] ; Abeler J., Altmann S., Milsom L., Toussaert S. et Zillessen H., « Support for app‑based contact tracing of COVID‑19 », (prépublication) 3 avr. 2020 [consulter en ligne].

[66]Règl. (UE) n^o 2016/679, op. cit., cons. 78.

[67]Cette exigence de recourir à une solution logicielle à code source ouvert a été reprise par le Président‑Directeur général d’Orange (Richard S., op. cit.). Le Codirecteur de l’Institut de recherches interdisciplinaires et de développement en intelligence artificielle de l’Université libre de Bruxelles insiste quant à lui sur la nécessaire transparence algorithmique (Bersini H., « Libertés numériques : “La gouvernance algorithmique est d’une efficacité redoutable” », Le Monde (édition numérique) 29 mars 2020, Tribune [consulter en ligne]).

[68]Règl. (UE) n^o 2016/679, op. cit., cons. 39 et art. 5, 1, c).

[69]Ibid., art. 5, 1, c et 25, 1.

[70]Wojciech Wiewiórowski, Contrôleur européen de la protection des données, insiste pour sa part sur la nécessité de « pouvoir compter sur un contrôle judiciaire effectif » (Roussey M., « L’usage des données personnelles face au confinement », Arte Journal 7 avr. 2020 [consulter en ligne]).

[71]Vilain Z., « Coronavirus : “Une classification systématique d’une population en fonction d’un critère de santé est dangereuse” », Le Monde (édition numérique) 26 mars 2020, Tribune [consulter en ligne] ; Mozur P., Zhong R. et Krolik A., « In Coronavirus Fight, China Gives Citizens a Color Code, With Red Flags », The New York Times (édition numérique) 1^er  mars 2020 [consulter en ligne] ; Lemaître F. et Leplâtre S., « En Chine, la fin progressive et très surveillée du confinement au Hubei », Le Monde (édition numérique) 26 mars 2020 [consulter en ligne].

[72]D. n^o 2020‑293, 23 mars 2020, prescrivant les mesures générales nécessaires pour faire face à l’épidémie de covid‑19 dans le cadre de l’état d’urgence sanitaire, NOR : SSAZ2008253D, ELI : https://beta.legifrance.gouv.fr/eli/decret/2020/3/23/SSAZ2008253D/jo/texte, art. 6, III, al. 2 : JO n^o 0072, 24 mars 2020, texte n^o 7.

[73]Ibid., art. 3, I.

[74]Untersinger M.,  Coronavirus : la Commission européenne réclame des données d’opérateurs téléphoniques pour évaluer l’effet des mesures de confinement », op. cit.

[75]de la Fontaine J., Fables choisies, mises en vers par M^r de la Fontaine, Troisième partie, 1678, Paris, Thierry et Barbin, 220 p., Fable I, « Les animaux malades de la peste », p. 10 [consulter en ligne].

[76]Palud A., La contagion des imaginaires : lectures camusiennes du récit d’épidémie contemporain, thèse, Bouju E. (dir.) 2014, Rennes, Université Rennes 2, Littératures et civilisations comparées, 502. p., p. 439 [consulter en ligne] citée par Séry M., « Littérature et épidémie : le vaccin des dystopies », Le Monde (édition numérique) 25 mars 2020 [consulter en ligne].

[77]DDHC, art. 15 ; Jacquin J.‑B., Pietralunga C., Lemarié A. et Faye O., « Coronavirus : l’exécutif face à la menace de suites judiciaires », Le Monde (édition numérique) 25 mars 2020 [consulter en ligne].

[78]Fodéré F.‑E., Leçons sur les épidémies et l’hygiène publique, faites à la Faculté de Médecine de Strasbourg, t. 1, 1822, Paris, Levrault, 523 p., p. 188 [consulter en ligne].

[79]L. n^o 78‑17, op. cit., art. 1^er, al. 1^er.