POLITIQUE & INSTITUTIONS — Institutions

Les initiatives se multiplient

Les «Tinder du coronavirus» prêts à secouer le RGPD



Le traçage des smartphones permettrait de savoir qui a été où et en contact avec qui. Un moyen de lutte efficace, mais qui nécessite une adaptation des lois nationales. Le régulateur européen de la protection des données indique comment faire. (Photo: Shutterstock)

Le traçage des smartphones permettrait de savoir qui a été où et en contact avec qui. Un moyen de lutte efficace, mais qui nécessite une adaptation des lois nationales. Le régulateur européen de la protection des données indique comment faire. (Photo: Shutterstock)

Les pays qui s’en sortent le mieux face à la pandémie ont tracé les déplacements de populations à partir de leurs smartphones. Compliqué à mettre en œuvre en Europe à cause du RGPD, cela est tout de même possible. Le régulateur indique comment faire. Les initiatives se multiplient.

L’Europe ne peut pas réussir là où l’Asie a réussi. Le règlement européen sur la protection des données complique le traçage des déplacements de ses administrés à partir de leurs téléphones portables.

Qu’à cela ne tienne, le superviseur européen, en charge de coordonner la lutte pour la protection des données,  a donné lui-même la solution pour contourner ses propres règles , à l’heure d’un pragmatisme de l’urgence.

«L’urgence est une condition légale qui peut légitimer les restrictions des libertés à condition que ces restrictions soient proportionnées et limitées à la période d’urgence», note, en préambule, l’European Data Protection Board (EDPB).

Nécessaire, appropriée et proportionnée

«En principe, les données de localisation ne peuvent être utilisées par l’opérateur que lorsqu’elles sont rendues anonymes ou avec le consentement des particuliers», note l’EDPB. «Cependant, l’art. 15 de la directive ePrivacy permet aux États membres d’adopter des mesures législatives pour protéger la sécurité publique. Une telle législation exceptionnelle n’est possible que si elle constitue une mesure nécessaire, appropriée et proportionnée au sein d’une société démocratique.»

«Ces mesures doivent être conformes à la Charte des droits fondamentaux et à la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales», ajoute le régulateur. «De plus, elles sont soumises au contrôle judiciaire de la Cour européenne de justice et de la Cour européenne des droits de l’Homme. En cas de situation d’urgence, elles doivent également être strictement limitées à la durée de l’urgence en question.»

Cela dit, l’exploitation des données doit être explicite et spécifiée. Leur protection doit être assurée et le consommateur doit être informé de leur utilisation.

Les règles de protection des données, rappelle le régulateur européen, ne s’appliquent pas aux données anonymisées. Donc, dit-il, les États membres devraient d’abord travailler à cela. Sauf qu’évidemment, si l’objectif n’est pas seulement d’informer, de l’État vers le particulier, mais aussi de retrouver les gens mis en contact, cela se complique.

Les États doivent alors s’appuyer sur la directive ePrivacy et prévoir à la fois des garanties et un recours juridictionnel, toujours dans le souci de protéger les individus.

Trois initiatives

Selon le site Politico , le commissaire européen au marché unique, Thierry Breton, aurait commencé à s’entretenir avec un gros opérateur de télécoms par pays pour avancer vers une traçage, malgré tout.

Le lendemain, la France a admis réfléchir à «l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées». Douze chercheurs et médecins seront en charge de conseiller le président français sur ces pratiques de «backtracking», un terme qui traduit l’utilisation de l’historique des déplacements des personnes contagieuses.

Deux initiatives «privées» se sont déjà mises en évidence. En France, le fondateur de CoronApp, Christophe Mollet, a lancé une sorte de «Tinder du coronavirus», où les gens peuvent s’inscrire librement en acceptant que leurs données soient utilisées et de dire si elles sont contaminées ou à proximité de personnes contaminées, explique-t-il au Nouvel Obs .

Le MIT et Harvard ont réuni une équipe d’experts dédiée à cette question. Leur application Covid Symptom Tracker a déjà été téléchargée 750.000 fois , ce qui aide les chercheurs et les professionnels de santé.

Google a lancé, via sa filiale Verily, un test gratuit , à partir de son smartphone et d’un compte Google, à condition d’accepter le partage de ses données, un procédé qui a fait bondir les associations de veille.

Mais c'est probablement par ce genre de service que va venir la solution: si les consommateurs acceptent que leurs données soient utilisées, il n'y aura plus de problèmes. Onze pays ont commencé à tracer leurs concitoyens, dont l'Allemage, le Royaume Uni, l'Autriche ou la Pologne. Dans ce dernier pays, comme en Asie, ceux qui ont été infectés doivent envoyer un selfie pour prouver qu'ils sont bien en quarantaine quand les autorités le leur demandent.

Quatre recommandations pour le monde du travail

Cette question s’applique également dans la relation de l’employeur à l’employé. Que dit l’EDPB?

1. Un employeur peut-il exiger des visiteurs ou des employés qu’ils fournissent des informations spécifiques sur la santé dans le contexte du Covid-19? L’application du principe de proportionnalité et de minimisation des données est particulièrement pertinente ici. L’employeur ne devrait exiger des informations sur la santé que dans la mesure où la législation nationale le permet.

2. Un employeur est-il autorisé à effectuer des contrôles médicaux sur les employés? La réponse s’appuie sur les lois nationales relatives à l’emploi ou à la santé et à la sécurité. Les employeurs ne devraient accéder aux données de santé et les traiter que si leurs propres obligations légales l’exigent.

3. Un employeur peut-il révéler qu’un employé est infecté par le Covid-19 à ses collègues ou à des tiers? Les employeurs devraient informer le personnel des cas de Covid-19 et prendre des mesures de protection, mais ne devraient pas communiquer plus d’informations que nécessaire. Dans les cas où il est nécessaire de révéler le nom du ou des employés qui ont contracté le virus (par exemple dans un contexte préventif) et si la législation nationale le permet, les employés concernés doivent être informés à l’avance, et leur dignité et leur intégrité doivent être protégées.

4. Quelles informations traitées dans le cadre du Covid-19 peuvent être obtenues par les employeurs? Les employeurs peuvent obtenir des informations personnelles pour remplir leurs fonctions et organiser le travail conformément à la législation nationale.