Les gouvernements et les acteurs privés se tournent de plus en plus vers l’utilisation de solutions informatiques basées sur la collecte de données à caractère personnel pour la gestion de la crise sanitaire liée au Covid-19, ce qui soulève des problématiques sur le plan de la protection des données.
En effet, si la finalité de ses solutions informatique est fondé sur l’intérêt de santé publique, certaines solutions informatiques incluant par exemple la géolocalisation des individus peuvent faire craindre l’établissement de manière pérenne d’un État « Big Brother », fondé sur une surveillance accrue des individus sacrifiant par là même le droit à la vie privée et la liberté de circulation.
Pour faire face à ces craintes, les institutions en charge de la protection des données au sein de l’Union Européenne (le « Comité Européen de la Protection des Données » ou « CEPD ») ainsi que les autorités de contrôles nationales, telles que la CNIL en France, œuvrent aux côtés des gouvernements des États Membres afin encadrer les projets nationaux de solutions informatiques en conformité avec le Règlement sur la Protection des Données (« RGPD »).
À cet égard, le CEPD comme la CNIL confirment l’application du RGPD à toute collecte de données à caractère personnel d’individus (y compris les données de connexion informatique et/ou de localisation) utilisées dans le cadre d’une solution informatique relative au Covid-19, qu’elle soit mise en œuvre par un État Membre ou un acteur privé.
Par conséquent, la solution devra impérativement répondre à tous les principes établis par le RGPD et en particulier la proportionnalité et la minimisation des données. Ces principes requièrent une collecte et une conservation des données limitées à ce qui est strictement nécessaire pour les besoins de la solution. En pratique, l’utilisation de données des individus devra se faire sur la base du consentement et en évitant l’utilisation de
technologies de suivi des déplacements, comme la géolocalisation.
En France, le gouvernement a proposé la mise en place d’une application « StopCovid » qui permet d’informer les personnes l’ayant téléchargée et qui ont été à proximité d’une personne ayant été testé positif au Covid-19 dans un passé proche.
L’application « StopCovid » présente déjà certaines garanties de protection de la vie privée des personnes :
Même si l’application présente ces garanties, le gouvernement à encore beaucoup de travail pour implémenter les principes du RGPD jusqu’au déploiement effectif de la solution.
Ceci étant dit, la CNIL estime, dans sa délibération du 24 avril 2020 portant avis sur l’application « StopCovid », que le déploiement de cette application en conformité avec le RGPD nécessite la mise en place des actions suivantes de la part du gouvernement :
L’application « StopCovid » étant fondée sur le volontariat, il sera particulièrement important qu’elle emporte l’adhésion massive de la population française. Dans ce contexte, la mise en place de garanties de protection telles que prévues par le CEPD et la CNIL en conformité avec le RGPD sera essentielle.
Avocat à la Cour (Paris) | Attorney at Law (New York)