Guillaume Desgens-Pasanau, magistrat, professeur associé au CNAM, ancien directeur juridique de la CNIL

Alors que nous traversons la plus grave crise sanitaire de l’histoire moderne, il nous appartient collectivement de veiller à ne pas porter une atteinte irréversible à nos libertés fondamentales et individuelles.

Dans le but de cartographier la propagation du virus et identifier les personnes à risque, de nombreux projets de surveillance des personnes sont désormais à l’étude. Ils reposent principalement sur des techniques de traçage des téléphones portables par géolocalisation ou utilisation de la technologie bluetooth (« contact tracing »).

Sans méconnaitre l’intérêt possible (mais pas toujours certain) de l’utilisation de ces technologies pour endiguer l’épidémie durant la phase de déconfinement, ces initiatives doivent impérativement s’accompagner d’une réflexion attentive sur les enjeux induits en termes de protection de la vie privée.

« Nous sommes en guerre ». Plutôt que d’invoquer sans cesse l’existence d’une période inédite, nous serions collectivement bien inspirés de prendre le temps d’un regard rétrospectif sur l’évolution des législations de protection des données au cours des 20 dernières années.

La « guerre » contre la crise sanitaire succède en réalité à près de 20 années de « guerre » contre le terrorisme engagée depuis les attentats du 11 septembre 2001. Cette volonté de renforcer la sécurité publique s’est traduite en France par un nombre toujours croissant de législations spéciales, venant déroger aux principes fondamentaux du droit commun de la protection des données, lequel a été tout récemment renforcé au niveau européen à l’occasion de la mise en œuvre du règlement européen général sur la protection des données (RGPD).

Un exemple marquant est celui de la vidéosurveillance, désormais appelée « vidéoprotection », et plus récemment des techniques de reconnaissance faciale dont le développement s’est progressivement élargi dans l’espace public, au gré de lois évoquant tout d’abord la prévention d’actes de terrorisme, puis la protection des lieux particulièrement exposés à des risques d’agression, puis la prévention des risques naturels et désormais la simple constatation d’infractions aux règles de la circulation routière. L’évolution des textes encadrant la vidéosurveillance est symptomatique de ce processus irréversible appelé « effet de cliquet » : une fois qu’une technologie de surveillance est mise en œuvre, son développement devient inéluctable et s’inscrit dans des usages de plus en plus banalisés à mesure qu’ils sont socialement acceptés. Allons-nous irrémédiablement poursuivre sur cette même pente en raison de la crise que nous traversons ?

Protéger nos données n’est pas qu’une coquetterie

L’absence de protection des données relatives à la santé des individus pourrait conduire à un grave risque de stigmatisation. C’est ainsi qu’à la fin des années 90, seule l’intervention de la CNIL a permis de mettre en œuvre un dispositif de surveillance épidémiologique des personnes séropositives tout en garantissant leur anonymat et l’absence d’exclusion sociale. Aujourd’hui encore, c’est le RGPD qui protège les salariés en interdisant aux employeurs de procéder par eux-mêmes à la collecte d’informations relatives à la recherche d’éventuels symptômes du virus, ceci étant réservé aux seules autorités sanitaires.

Plus largement, la constitution de fichiers ou de « listes noires » visant à profiler les individus peut conduire à de graves risques de discrimination sur le plan économique. A l’heure de la mise en œuvre d’outils de détection ou de surveillance d’individus atteints du COVID, quelles seraient les conséquences de la délivrance éventuelle de « certificats d’immunité » ? Que deviendra celui qui, ne disposant pas d’un tel certificat, se verrait demain interdire l’accès à des commerces ou services de première nécessité ?

N’oublions pas également que la technologie ne constitue jamais une solution miracle. Les données de localisation issues des téléphones reposent sur des infrastructures techniques dont la précision et la fiabilité sont très variables. Leur efficacité en termes de lutte contre la pandémie est de ce point de vue à relativiser et ne risque pas de remplacer nos « gestes barrières ». Comme pour toute technologie innovante, par exemple en matière de biométrie, il faut scrupuleusement évaluer le risque de « faux positif », c’est-à-dire le risque que la machine se trompe ! Le contrôle par la machine ne doit pas remplacer le contrôle par l’humain.

Ne pas céder à la tentation de législations d’exception

La réglementation européenne, qu’il s’agisse du RGPD ou de la directive « e-privacy », autorise la mise en œuvre d’outils technologiques de lutte contre la pandémie tout en préservant nos libertés fondamentales. La géolocalisation des individus est par exemple possible, à la condition de respecter certains principes fondamentaux, en particulier l’anonymisation des données. Il importe par conséquent, à court mais aussi à plus long terme, de ne pas déroger à ces règles, en exhortant nos législateurs à ne pas céder à la tentation d’adopter des législations dérogatoires qui viendraient ainsi détricoter les principes construits en France et en Europe depuis près de 45 ans, et qui, à coup sûr, perdureraient au-delà de la crise sanitaire.

De même, les contrepouvoirs institutionnels doivent pleinement jouer leur rôle dans l’analyse des dispositifs de surveillance massive de la population.

Alors que les pouvoirs publics insistent sur l’effort de transparence qu’ils entendent engager pour informer le public sur l’évolution du virus, la même transparence doit être attendue des autorités indépendantes de contrôle et en particulier de la CNIL. Son rôle ne doit pas se limiter à accompagner les acteurs institutionnels en leur rappelant poliment le cadre juridique applicable. Il lui incombe de se positionner plus clairement et communiquer publiquement sur les lignes rouges à définir concernant l’action à venir des pouvoirs publics et des opérateurs privés. S’agissant de l’utilisation de données de géolocalisation, l’anonymisation systématique et irréversible des données des individus devrait être consacrée comme l’unique solution acceptable sur le plan des libertés individuelles.

Au-delà, il appartiendra aux ordres juridictionnels de jouer pleinement leur rôle dans le contrôle de la légalité et de la proportionnalité des dispositifs envisagés.

Engager un véritable débat de société

Il ne suffit pas de rappeler que notre droit pose des règles de protection de nos données. Encore faut-il que la société veuille bien s’en emparer. Dans le contexte où les individus se sont de plus en plus accommodés à l’usage des technologies, au point de ne plus en percevoir parfois les risques (comme en matière d’exposition de soi sur les réseaux sociaux), la crise sanitaire est une occasion unique de relancer un grand débat de société sur l’équilibre à construire entre technologie, sécurité et liberté.

La dimension européenne ne devra pas être oubliée : à l’heure où Google et Apple annoncent s’associer pour rationaliser l’exploitation des données issues de nos téléphones portables, se pose crûment la question de notre souveraineté numérique. Notre modèle européen de protection des données est l’un des plus protecteur au monde. Il serait grand temps de le faire prévaloir, et de se réarmer sur le plan industriel en investissant massivement dans la conception d’outils numériques made in Europe et « privacy by design ».

 

[vcex_button url= »https://www.leclubdesjuristes.com/newsletter/ » title= »Abonnement à la newsletter » style= »flat » align= »center » color= »black » size= »medium » target= » rel= »none »]S’abonner à la newsletter du Club des juristes[/vcex_button]