Raymond Faber et Antoine d’Huart, Avocats à la Cour – Etude /c law (Crédit Photo: /c law) 

Raymond Faber et Antoine d’Huart, Avocats à la Cour – Etude /c law (Crédit Photo: /c law) 

Si nul ne doute de l’utilité et de l’efficacité des applications dites de contact tracing dans la lutte contre le COVID-19, le recours à ces applications soulève de nombreuses questions, notamment dans le cadre de la protection des données personnelles des utilisateurs.

Dans un contexte de crise dans lequel la protection des données a parfois tendance à ne plus vraiment figurer en haut des principales préoccupations des responsables de traitement, le sujet revient pourtant dans l’actualité, alors que bon nombre de scientifiques s’accordent aujourd’hui à dire que le recours à des applications pour téléphones portables pourrait contribuer à endiguer la propagation du COVID-19. Le maintien sous contrôle du virus représentant une condition préalable à l’assouplissement progressif des restrictions à la liberté de mouvement ayant été imposées par les autorités dans le cadre du confinement général, de telles applications peuvent par exemple faciliter l’autodiagnostic des utilisateurs, servir de canal de communication sécurisé entre les médecins et leurs patients, ou encore potentiellement permettre aux autorités sanitaires d’avertir les utilisateurs infectés une fois que les tests auxquels ils se sont soumis ont été évalués. Mais qu’en est-il des données personnelles que les utilisateurs de ces applications partagent avec les autorités en charge du suivi? À côté des données médicales, de nombreuses applications de traçage permettent en plus de localiser la position exacte des utilisateurs en temps réel, rendant une telle surveillance systématique à grande échelle de la population à travers la géolocalisation particulièrement délicate.

Le contact tracing , une manière éprouvée pour maîtriser les pandémies

Le recours au contact tracing par les autorités sanitaires ne date pas d’hier. Son objectif est de retracer les chaînes d’infection et de les interrompre le plus rapidement possible en identifiant tous les contacts récents d’une personne qui a été testée positive et de les mettre en quarantaine. Jusqu’à présent, ce traçage a été effectué «manuellement» par les autorités compétentes, notamment par des appels téléphoniques.

Bien que l’utilité d’un tel traçage «manuel» soit indéniable, sa mise en œuvre est fastidieuse et, face à ce constat, de nombreux acteurs ont sauté dans la brèche et développé une multitude d’applications mobiles en un temps record.

La course aux applications mobiles de traçage est lancée

En effet, si certains pays, à l’instar de Singapour, ont misé sur un outil de traçage dès la première apparition du COVID-19, différents types d’applications sont actuellement à l’étude partout ailleurs, y compris au Luxembourg, dont grand nombre permettent aussi de géolocaliser les utilisateurs. Il est pourtant évident que le recours à de telles applications doit être encadré afin de concilier traçage efficace et vie privée des utilisateurs, qui, tout en contribuant à l’endiguement d’un virus, traitent nécessairement une masse importante de données personnelles.

Oui au traçage, mais pas n’importe comment

Afin de couper court aux dérives qui pourraient découler du traitement arbitraire des données personnelles collectées dans le cadre d’une large surveillance, le Comité européen de la protection des données (EDPB) a récemment édicté des guidelines1 auxquelles les développeurs d’applications mobiles devraient idéalement se conformer en respectant le principe du privacy by design énoncé par le RGPD.

Dans le contexte du traçage, il est en plus primordial de clairement définir le responsable de traitement qui est en charge du traitement des données collectées à travers les applications de traçage. Afin de garantir une certaine transparence, une solution «naturelle» serait de désigner les autorités sanitaires nationales comme responsables du traitement des données.

En effet, la géolocalisation systématique des utilisateurs et la surveillance des contacts entre personnes physiques à grande échelle représentent une intrusion importante dans leur vie privée, ce qui implique que les autorités ne pourront y avoir recours qu’avec le consentement des utilisateurs.

Cela signifie par ailleurs aussi que les personnes qui, pour une raison ou une autre, ne veulent pas utiliser ces applications, ne doivent subir aucun désavantage par rapport à celles qui les utilisent, notamment en ce qui concerne leur prise en charge par les autorités.

Selon l’EDPB, il est en outre crucial de limiter les finalités pour lesquelles les données collectées sont traitées afin d’exclure tout traitement ultérieur de celles-ci à des fins non liées à la gestion de la crise provoquée par le COVID-19.

Finalement, le principe de la minimisation des données impose de collecter exclusivement les données personnelles nécessaires à la réalisation des traitements annoncés et de faire en sorte qu’uniquement les informations nécessaires au suivi soient transférées aux autorités compétentes. Ces traitements ne doivent en aucun cas être illimités dans le temps, et il convient, comme pour tout traitement, de fixer une durée raisonnable de détention des données personnelles avant effacement ou anonymisation de celles-ci.

1