Bienvenue sur la Grande Bibliothèque du Droit ! Ceci est une bibliothèque contributive. Vous pouvez nous proposer des articles.


La Grande Bibliothèque du Droit est une bibliothèque juridique en ligne, en accès libre et gratuit, créée par le Barreau de Paris.

Les lecteurs et contributeurs ne doivent pas oublier de consulter les Avertissements juridiques.

Welcome to the Grand Law Library ! This is a participatory e-library. You can send us your publications


Géolocalisation et traçage massif des individus atteints par le Covid-19: que va nous apprendre la crise sanitaire sur le respect de nos vies privées en période d'urgence ? (fr)

Version imprimable
Un article de la Grande Bibliothèque du Droit, le droit partagé.
Aller à : navigation, Rechercher
France >  Droit privé >  Protection des données personnelles



Fr flag.png


Auteur : Thierry Vallat, avocat au Barreau de Paris
Date : 31 mars 2020


A la suite de l'annonce de la création du Comité analyse recherche et expertise (Care), missionné pour mettre en place "une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées" par le Covid-19 et notamment étudier l'opportunité de mettre en place des techniques de "backtracking", qui permettent d’identifier les personnes en contact avec celles infectées par le virus, la Cnil a émis des recommandations au Care (lire sur le site Mediapart).


L'état d'urgence permet en effet d'imposer, sous certaines conditions, des restrictions de libertés ou des possibilités de restriction de libertés très importantes, notamment à la vie privée des citoyens garantie en France par l'article 9 du code civil et remet en lumière l'importance de la collecte et du traitement des données personnelles obtenues à partir de la géolocalisation, dont celles sensibles entre toutes liées à la santé des individus.


Le Règlement Général de Protection des Données prévoit ainsi en cas de crise sanitaire, une exception au principe général de consentement préalable, en précisant que " le traitement de données à caractère personnel devrait être également considéré comme licite lorsqu'il est nécessaire pour protéger un intérêt essentiel à la vie de la personne concernée ou à celle d'une autre personne physique. Le traitement de données à caractère personnel fondé sur l'intérêt vital d'une autre personne physique ne devrait en principe avoir lieu que lorsque le traitement ne peut manifestement pas être fondé sur une autre base juridique. Certains types de traitement peuvent être justifiés à la fois par des motifs importants d'intérêt public et par les intérêts vitaux de la personne concernée, par exemple lorsque le traitement est nécessaire à des fins humanitaires, y compris pour suivre des épidémies et leur propagation, ou dans les cas d'urgence humanitaire, notamment les situations de catastrophe naturelle et d'origine humaine" (raison 46 https://www.privacy-regulation.eu/fr/r46.htm )


Son article 9 dispose que:

"Le traitement des données à caractère personnel qui révèle l'origine raciale ou ethnique, les opinions politiques, les convictions religieuses ou philosophiques ou l'appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques aux fins d'identifier une personne physique de manière unique, des données concernant la santé ou des données concernant la vie sexuelle ou l'orientation sexuelle d'une personne physique sont interdits" , mais que cette interdiction ne s'applique pas si la personne donne son consentement ou si " le traitement est nécessaire pour des motifs d'intérêt public dans le domaine de la santé publique, tels que la protection contre les menaces transfrontalières graves pesant sur la santé, ou aux fins de garantir des normes élevées de qualité et de sécurité des soins de santé et des médicaments ou des dispositifs médicaux, sur la base du droit de l'Union ou du droit de l'État membre qui prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel "

La CNIL a donc tout d'abord rappelé que "le cadre juridique actuel, en particulier le RGPD et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes. Ce même cadre juridique permet aux États d’aller plus loin et de déroger, par la loi, à cette exigence d’anonymisation ou de consentement, sous certaines conditions."


Elle appelle ensuite à "privilégier le traitement de données anonymisées et non de données individuelles, lorsque cela permet de satisfaire l’objectif".


La Commission européenne, via son commissaire au marché intérieur a elle aussi communiqué dans le même sens pour privilégier l'usage de données anonymisées permettant de suivre l'évolution des concentrations de population. Mais cette anonymisation ne permet pas un suivi individuel, L’opérateur télécom Orange, à la demande de Thierry Breton, va d'ailleurs transférer les données de ses quelques 34 millions d’utilisateurs en France à la Commission européenne et travaille avec l’Institut français de la recherche médicale (Inserm).


En conséquence, si un pistage des individus testés positifs au Covid-19 devait être mis en place pour permettre de juguler l'épidémie de coronavirus, il faudrait un texte législatif limitant ce backtracking dans le temps et dans ses objectifs.


Ce suivi très intrusif utiliserait en effet les données de géolocalisation des smartphones des personnes testées positives au Covid-19 par exemple pour vérifier que celles-ci restent bien confinées à leur domicile comme instauré dans plusieurs pays en Israêl ou en Pologne, où tous les citoyens en quarantaine doivent télécharger une application et envoyer régulièrement des selfies afin de prouver qu'ils sont bien chez eux.


Il permettrait également de visualiser et reconstituer les déplacements des personnes infectées, pour identifier, voire prévenir, les individus susceptibles d’avoir été exposés au virus, un système mis en place par la Corée du Sud. L'opérateur suisse Swisscom aide à détecter les attroupements via les téléphones en communiquant aux autorités helvétiques lorsque plus de 20 téléphones se trouvent dans un espace de 100 m2.


La Cnil invite donc le gouvernement à recueillir l'aval préalable du Parlement pour un tel dispositif:

"Si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l’ensemble des personnes concernées une intervention législative s’imposerait" et bien sur "qu'il faudrait s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées ."

Le défenseur des droits a de son côté demandé l'organisation d'un débat public. "Il faut voir d'un côté ce que sont les exigences des libertés et de l'autre côté quel est le bénéfice de cette mesure de géolocalisation" a-t-il déclaré à France Info (https://www.francetvinfo.fr/sante/maladie/coronavirus/geolocalisation-des-patients-atteints-du-coronavirus-il-faut-voir-les-exigences-des-libertes-affirme-le-defenseur-des-droits_3883831.html


On se souviendra que lors de l'examen par le Sénat de la loi du 23 mars 2020 instituant l'état d'urgence sanitaire, avait été déposé un amendement autorisant pour une durée de six mois "toute mesure visant à permettre la collecte et le traitement de données de santé et de localisation". Le gouvernement avait cependant rejeté ce texte. Pour combien de temps...

On rappellera juste à cet égard que, par exemple, les smartphones de millions d’Américains sont suivis par le gouvernement, la sécurité intérieure US ayant acheté des données de localisation provenant de smartphones afin de suivre des personnes à la frontière. Et tout cela avec une facilité dérisoire: les autorités américaines ont eu accès à ces informations via des bases de données commerciales rassemblées par des sociétés de marketing. ayant pu mettre la main sur des informations concernant leurs utilisateurs sans que ceux-ci ne s’en aperçoivent, comme avec des applications de météo qui demandent la localisation précise des utilisateurs afin d’offrir un service personnalisé, des jouets, des montres ou autres objets connectés.

Sans parler des tentations de croisement de ces informations avec des fichiers de police, l'utilisation croisée de la reconnaissance faciale ou les caméras de vidéo-surveillance omniprésentes dans nos villes.

Attention donc avec ces données récoltées qui sont susceptibles d’être vendues à des annonceurs numériques: évitez d'activer ces préférences sur votre téléphone, le respect de votre vie privée pourra en dépendre !

Bien entendu, au delà de l'urgence, dont on ne sait que trop qu'elle peut autoriser des dérives autoritaires et se pérenniser au delà du strict temps de crise sanitaire, la question est de savoir vers quel modèle de société veut-on aller et si le contrôle permanent des individus va devenir la norme.