Veille Juridique N°24 – Mai 2020

Un anniversaire sous tension. Le RGPD fête ses deux ans dans un contexte particulièrement mouvementé pour les droits fondamentaux.

Quelle sera la résilience du système européen de protection des données face aux défis sanitaires actuels ?

Déjà mis à l’épreuve dans le cadre de la lutte contre le terrorisme, le socle de droits qui protège les individus en Europe est-il adapté aux évolutions que nous connaissons aujourd’hui ?

• Lois d’urgence et « solutionnisme » technologique

Les lois d’urgence et les développements technologiques permettant le traçage des individus se multiplient en Europe et dans le reste du monde.

A y regarder de plus près, toutes ces initiatives ne se ressemblent pas.

Au sein même de l’Union européenne, les lois d’urgence française et hongroise par exemple sont très différentes en termes de restrictions et de champ d’application.

En France, le gouvernement a fait face à des discussions parlementaires très vives, notamment sur les questions de traçage des personnes infectées et de la mise en quarantaine à titre préventif de personnes malades. Certaines dispositions ont d’ailleurs été censurées par le Conseil constitutionnel.

La Hongrie va plus loin en restreignant de façon générale le rôle de son parlement, ainsi que, plus spécifiquement, les protections prévues par le RGPD concernant le profilage, le droit d’accès des personnes à leurs données et le droit à l’oubli.

On constate également de grandes différences si l’on compare l’application de suivi « covid » allemande, basée sur un système décentralisé avec une collecte minime d’informations, et celle du Royaume-Uni, dont les données (identifiables) sont conservées par le gouvernement pour une durée de vingt ans, sans qu’une analyse d’impact ait été réalisée au préalable.

L’Agence européenne des droits fondamentaux (FRA) a publié deux rapports recensant l’impact des mesures prises par les États européens sur les droits fondamentaux.

Elle y met en garde contre le développement des mesures intrusives et l’accoutumance à ce nouvel état de fait.

Si les individus doivent évidemment bénéficier de l’information la plus complète possible, ainsi que de moyens de contrôle (consentement, droits d’opposition et d’effacement) dans le cadre de la mise en œuvre de systèmes de traçage, les autorités de protection des données rappellent que la légalité de ces systèmes ne peut reposer sur le seul assentiment des personnes concernées.

Comme le souligne la CNIL dans son avis sur l’application StopCovid maintenant opérationnelle, « l’utilité réelle du dispositif devra être plus précisément étudiée après son lancement ».

La durée de mise en œuvre du dispositif devra être conditionnée aux résultats de cette évaluation régulière. »

De telles évaluations a posteriori seront-elles suffisantes ?  Un examen approfondi de l’utilité des nouveaux dispositifs de traçage devrait en principe précéder la mise en œuvre des traitements, même (et surtout) en situation d’urgence, lorsque des données sensibles sont traitées.

• Les garde-fous institutionnels

Outre le Parlement et les institutions telles que la CNIL, les cours et tribunaux français sont amenés à se prononcer sur les collectes de données.

Il en est ainsi du Conseil d’État, qui a enjoint l’Etat par une Ordonnance du 18 mai à cesser toute mesure de surveillance par drône pour contrôler le confinement à Paris.

Il en est de même pour le tribunal judiciaire de Rennes qui a qualifié d’irrégulière l’utilisation du fichier ADOC (fichier des contraventions) pour vérifier les récidives au non-respect des règles de confinement.

Notons que ces récentes décisions se fondent sur l’existence ou l’absence d’une base légale, sans remettre en question de façon plus fondamentale le caractère proportionnel des mesures de contrainte.

Qu’en est-il donc de la proportionnalité de ces mesures ? Les questions éthiques que soulève une possible dérive des moyens de surveillance ont-elles été suffisamment prises en considération ?

Les recommandations récentes de l’OMS concernant l’éthique et les technologies de traçage pointent la ligne ténue qui sépare la surveillance sanitaire de la surveillance de la population, et les risques accrus qu’encourent les personnes marginalisées.

L’OMS plaide pour une supervision effective des acteurs publics et privés impliqués dans la gestion des données de la population.

Le document recense les principes essentiels à respecter dans le contexte actuel et fournit une liste très utile des communications récentes des autorités publiques et des organisations internationales (une compilation extensive est aussi disponible sur le site de la Global Privacy Assembly).

• Le rôle essentiel des acteurs à l’origine des traitements

Ces considérations soulignent la nécessité d’une réflexion de fond sur la responsabilité des acteurs impliqués dans les dispositifs de surveillance, au niveau des instances publiques mais aussi des acteurs privés.

Avant de nous projeter dans « le monde d’après », regardons déjà les outils dont nous disposons aujourd’hui.

L’originalité du RGPD par rapport au cadre légal antérieur réside notamment dans les mesures de responsabilisation (« accountability ») qu’il prévoit.  Le responsable de traitement, État ou société privée, doit rendre des comptes.

Il a la responsabilité d’évaluer l’élaboration des outils de gestion de données à l’aune, non seulement des enjeux économiques ou politiques, mais des droits fondamentaux, en particulier par une analyse préalable de l’impact du traitement sur les droits des individus.

Et cette obligation est assortie d’amendes, comme vient d’en faire les frais la Poste de Finlande, condamnée pour avoir omis d’effectuer une telle analyse d’impact avant de mettre en œuvre un traitement de données.

L’intégration de la protection des données dès la conception d’un dispositif de traitement, et la configuration du dispositif afin de limiter les données collectées, aussi connues sous les noms de « privacy by design » et « privacy by default », constituent deux autres éléments essentiels d’une prise en compte des droits des personnes en amont de tout traitement de données.

C’est ce rôle clé du RGPD que rappelle la présidente du Comité Européen de Protection des Données, Andrea Jelinek, dans son message à l’occasion de l’anniversaire du Règlement.

Le RGPD est adapté aux crises que nous traversons, mais il incombe non seulement aux autorités de supervision mais aussi et surtout aux responsables de traitement de jouer le jeu.

Le respect des droits fondamentaux est sans doute, aujourd’hui plus que jamais, une démarche essentielle pour assurer la confiance et l’acceptation par les individus des nouveaux développements technologiques.

Sans confiance, c’est l’efficacité des mesures sanitaires qui est en jeu, et l’issue même de la crise que nous traversons. 

Anne Christine Lacoste

Juriste spécialisée en droit des données ; elle a été Responsable Relations Internationales auprès Contrôleur Européen de la Protection des Données et œuvré à la mise en place du RGPD dans l’Union Européenne.