Face à la multiplication des initiatives nationales, la Commission européenne a à son tour invité les entreprises de télécommunications à contribuer à la lutte contre la propagation du Covid-19. Lors d'une conférence téléphonique, le 23 mars, le commissaire au marché intérieur, Thierry Breton, a suggéré la mise au point d'une grande base de données « anonymisées » et « agrégées » au niveau de l'UE.
Cette information, révélée par le journal américain Politico, a été confirmée par la suite par l'institution européenne, qui a reconnu que la discussion avec les 8 grands chefs d'entreprises et l'organisation internationale GSMA avait notamment porté sur la nécessité de collecter des métadonnées mobiles anonymisées pour aider à analyser les modèles de diffusion du coronavirus.
Respect de la confidentialité
Selon la Commission, cette initiative ne contreviendrait pas au règlement général sur la protection des données (RGPD) et à la législation sur la protection des données électroniques (e-Privacy). « Le traitement des données relatives à la santé est en principe interdit par le RGPD. Toutefois, le règlement prévoit des exceptions à ces règles pour des raisons d’intérêt public, y compris les menaces transfrontalières graves contre la santé », a expliqué le lendemain de la visioconférence un porte-parole de la Commission. « En ce qui concerne les données statistiques agrégées qui ne permettent pas d’identifier les personnes physiques, le RGPD ne s’applique pas et il n’y a donc pas de problème de protection des données », a-t-il poursuivi.
Selon Politico, l'idée de Thierry Breton serait de sélectionner un grand opérateur par pays « pour suivre la propagation du virus et déterminer où les besoins en fournitures médicales sont les plus pressants ». Le Contrôleur européen de la protection des données (EDPS) nous a confirmé avoir été consulté par la Commission, en nous assurant qu'il ne s'agira pas de traçage individuel, mais bien d'informations agrégées. « L'Exécutif européen a aussi pris des engagements par rapport à la limitation de la finalité des informations à obtenir », complète Olivier Rossignol, de l'EDPS.
Des initiatives nationales
Jusqu'ici, les initiatives avaient été plutôt nationales. En Allemagne (Deutsche Telekom), en Autriche (Telekom Austria AG) ou en Belgique (Proximus, Orange, Base), les opérateurs partagent déjà des données de leurs clients avec les autorités de santé pour lutter contre le coronavirus. Vodafone a en outre produit une carte thermique agrégée et anonyme pour la région de Lombardie, particulièrement touchée par le Covid-19, afin d'aider les autorités italiennes à comprendre les mouvements de population.
Mardi 24 mars, deux autres pays ont également exprimé leur intention de s'engouffrer dans cette voie. Les autorités françaises ont annoncé la mise en place d'un comité de chercheurs et de médecins chargé notamment d'examiner la possibilité d'utiliser des données de géolocalisation pour identifier les personnes en contact avec celles infectées par le coronavirus. Le gouvernement slovaque, lui, devait discuter d'une loi autorisant les institutions publiques à utiliser les données des opérateurs de télécommunications pour garantir que les personnes en quarantaine - les voyageurs de retour de l'étranger et ceux en contact avec des personnes infectées - restent isolées.
La pratique la plus extrême est à observer en Pologne, où les personnes en quarantaine se doivent d'envoyer un selfie dans les 20 minutes suivant la réception d'un message des autorités, au risque de voir la police débarquer.
L'EDRI mobilisée
Et c'est ce genre d'applications qui effraie tout particulièrement l'organisation de défense des droits en ligne, EDRI : « Les applications proposées par les autorités publiques devraient être soumises au même examen que l'accès des opérateurs mobiles aux données. Dans la mesure du possible, des algorithmes préservant la confidentialité devraient être utilisés dans ces applications », réagit Diego Naranjo, chargé de politiques à l'EDRI. Il ajoute qu'un certain seuil minimum devrait être établi pour s'assurer de la réelle anonymisation des données de géolocalisation, dans la mesure où cela ne peut se produire par la simple suppression du nom et du numéro de téléphone de l'abonné, et ce afin d'éviter tout risque de réidentification.
Quant aux applications privées, l'EDRI appelle les autorités de protection des données à vérifier leur compatibilité avec le RGPD. « La nécessité, la proportionnalité, la limitation de la finalité (uniquement pour la santé publique) et la limitation du stockage sont des principes clés lors de la réflexion sur des solutions technologiques impliquant l'utilisation de données personnelles. Toutes les données personnelles collectées ne doivent être divulguées directement qu'aux autorités sanitaires et ne doivent en aucun cas être partagées avec d'autres autorités (forces de l'ordre, services de renseignement, autorités d'immigration) », conclut l'EDRI.
Les mises en garde de l'EDPB
Jeudi 19 mars, le Comité européen de la protection des données (EDPB) avait déjà adopté une déclaration concernant la protection des données en temps de pandémie de Covid-19. Le comité invitait à favoriser les données de localisation anonymisées et, dans le cas contraire, à prévoir des garanties adéquates telles que la possibilité pour un particulier d'introduire un recours juridictionnel.
Selon l'organisme composé de l'EDPS et des autorités de la protection des données des États membres, les solutions les moins intrusives doivent toujours être préférées, en tenant compte de l'objectif spécifique à atteindre.
« Des mesures invasives, telles que le 'suivi' des individus (c'est-à-dire le traitement des données de localisation historiques non anonymisées) pourraient être considérées comme proportionnelles dans des circonstances exceptionnelles et en fonction des modalités concrètes du traitement », indique le document.
« Cependant, cela devrait faire l'objet d'un contrôle et de garanties renforcés pour s'assurer du respect des principes de protection des données - proportionnalité de la mesure en termes de durée et de portée, conservation limitée des données et limitation de la finalité ». (Sophie Petitjean)