Covid-19 : usage des données des abonnés par les opérateurs, les points cardinaux de la CNIL

Questionnée sur l'usage des données par les opérateurs et leur éventuelle communication aux autorités pour lutter contre la pandémie de Covid-19, la CNIL nous a adressé ses principales recommandations. Elles diffèrent selon les scénarios de traitements portant sur les données de localisation.

« Le cadre juridique actuel, en particulier le RGPD et la directive ePrivacy (applicable au recueil de données de localisation dans le cadre de communications électroniques), permet, selon certaines modalités, de traiter de telles données notamment de manière anonymisée (suffisamment agrégée) ou avec le consentement des personnes ».

Ce même cadre juridique « permet aux États d’aller plus loin et de déroger, par la loi, à cette exigence d’anonymisation ou de consentement, sous certaines conditions ». L’autorité considère que « pour limiter l’impact sur les personnes, il conviendrait donc de privilégier le traitement de données anonymisées et non de données individuelles, lorsque cela permet de satisfaire l’objectif ». 

Si un suivi individuel est malgré tout nécessaire, « [il] devrait reposer sur une démarche volontaire de la personne concernée. C’est d’ailleurs le cas pour certaines applications de « contact tracing » existantes ».

En outre, « si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l’ensemble des personnes concernées, une intervention législative s’imposerait. Il faudrait alors s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (par exemple en termes de durée et de portée) ».

Quel que soit le scénario, elle a défini plusieurs principes cardinaux qui doivent guider les pouvoirs publics :

• « Définir objectivement et précisément les objectifs poursuivis par tout dispositif de localisation des personnes notamment avec le milieu scientifique, afin de permettre d’en garantir non seulement la proportionnalité au regard du RGPD ou de la directive ePrivacy, mais aussi l’efficacité »
• « Respecter les principes fondamentaux posés par la loi « Informatique et Libertés » et les textes européens, qui sont des gages de confiance pour les personnes par rapport aux mesures qui pourraient être prises » 

Ce dernier principe conduit à « veiller à éviter toute collecte excessive d’informations sensibles, et identifier pour chaque besoin les technologies les moins intrusives ; informer les personnes sur les dispositifs mis en œuvre et faire preuve de transparence ; éviter tout détournement d’usages en prenant les mesures de sécurité appropriées ; ne pas pérenniser des mesures extraordinaires au-delà de la période de crise ».

La CNIL prévient aussi que dès la fin de la crise, « elle veillera à ce que les dispositifs exceptionnels qui auraient été, le cas échéant, mis en œuvre soient sans conséquence pour les personnes concernées (destruction des données, etc.) et ne soient pas pérennisés ».