Protection des données numériques et traçage : jusqu’où pouvons-nous aller ?

Protection données personnelles

En France comme dans toute l’Europe, pour enrayer la propagation du coronavirus COVID-19, on recherche activement des solutions numériques conciliables avec le Règlement général sur la protection des données, appliqué depuis 2018 sur tout le continent. Les applications de « tracking » (traçage numérique) ont démontré leur efficacité en Asie. Mais peuvent-elles devenir compatibles avec notre notion de la liberté individuelle ? À quoi peut-on s'attendre avec une application comme Stop Covid ?


Quelle offre mobile pour mon smartphone Android ? Appelez gratuitement Selectra au 09 75 18 80 51 ou demandez à être rappelé gratuitement pour découvrir toutes les offres partenaires et être guidé pour souscrire le forfait qui correspond à vos besoins.

  • L'essentiel
  • Le RGPD, entré en application le 25 mai 2018, réglemente les relations entre les FAI, sites, acteurs publics ou privés du web et les internautes.
  • Si des applications de « traçage » du COVID-19 sont bientôt utilisées, de solides garanties seront nécessaires pour préserver les libertés fondamentales.
  • C’est la CNIL qui informe et oriente particulier et entreprises dans l’exercice des droits face aux acteurs numériques.

Stop Covid : la solution pour lutter contre le Covid-19 ?

Stop Covid, CoronApp... Pourquoi faire ?

Au moment où l’on commence à mettre en place les mesures de sortie du confinement imposé par le gouvernement français pour enrayer la propagation du coronavirus COVID-19, quelles sont les limites légales des applications numériques de « traçage » ou « tracking » ?

application mobile

Aujourd’hui, ces applications sont étudiées de très près par le gouvernement. À quoi servent-elles ? Les applications de traçage permettent, grâce au suivi des smartphones, à une personne de savoir si elle a été, lors de ses déplacements, à proximité d’un malade du Covid-19. Ceci dans l’objectif d’attirer son attention sur le risque potentiel et ainsi de l’inciter à se faire tester : c’est essentiel, car en cas de résultat positif, la personne peut ainsi prendre des mesures d’isolement et de protection pour éviter la contagion.

On sait aujourd’hui que les opérateurs téléphoniques et les FAI ont, grâce aux smartphones, la capacité de suivre à la trace chaque utilisateur. Bien entendu, ils n’ont pas le droit de divulguer ces données... Mais en cas de « force majeure » ? On a vu récemment des citoyens chinois présumés porteurs du virus sommés de rentrer chez eux et de respecter les règles de confinement par des drones gouvernementaux... En effet, le traçage technologique soulève d’importantes questions sur la protection des données personnelles, autrement dit : sur la vie privée.

Le 26 mai 2020, la CNIL a donné son feu vert pour la mise en place de l'application Stop Covid en France. Elle doit désormais faire l'objet d'un vote auprès du Parlement, le 27 mai 2020.

Le RGPD rend-il le traçage illégal ?

Pour le ministre de l’Intérieur français, qui l’a déclaré récemment à la télévision, cela ne fait pas de doute : si une application permet d’aider à lutter contre la pandémie de Covid-19 en France en signalant aux utilisateur de smartphones qu’ils se sont trouvé à proximité d’un porteur du virus, il faut l’utiliser. Il a notamment fait largement allusion aux expériences déjà menées en Asie.

En effet, à Taïwan ou en Corée du Sud, les gouvernements ont utilisé les données GPS pour localiser les personnes infectées et mieux faire respecter les mesures de confinement. Bien qu’efficace, cette technologie pose problème en Europe : en effet, cette collecte des données est interdite au sein de l’Union européenne, précisément en raison de la loi protection des données ou RGPD (règlement général sur la protection des données, dont nous donnons les détails plus loin).

Le gouvernement français lorgne sur Singapour

À Singapour, le gouvernement utilise une application nommée TraceTogether. Celle-ci possède l’avantage de n’utiliser ni GPS, ni 4G, ce qui évite tous les soucis légaux liés à la géolocalisation des personnes via leur smartphone. TraceTogether fonctionne en effet avec le Bluetooth, une technologie « courte distance » qui ne révèle pas la localisation de son utilisateur. Comment cela fonctionne-t-il ? Les smartphones équipés de l’application se connectent entre eux en Bluetooth dans un périmètre de proximité : c’est suffisant pour permettre à l’application de repérer les éventuels porteurs dans son voisinage immédiat lors des déplacements de l’utilisateur du smartphone et de l’alerter immédiatement.

De plus, chaque téléphone ne garde en mémoire la liste des téléphones croisés que pendant vingt et un jours, ce qui constitue une garantie pour les libertés individuelles, puisque les données ne sont pas conservées au-delà. Ce délai de 21 jours correspond en moyenne au temps maximum d’incubation de la maladie. C’est indispensable pour que l’utilisateur, s’il présente les symptômes du COVID-19, puisse renseigner son état de santé dans l’application. Celle-ci adresse alors automatiquement une alerte à l’ensemble des utilisateurs croisés pour les inciter à se faire dépister.

Bluetooth 5 contre COVOD-19 ? Oui, mais...

Aujourd’hui, plusieurs pays européens, dont la France, étudient très sérieusement comment les technologies numériques en général, et le Bluetooth en particulier, pourraient aider à lutter contre la pandémie. Ainsi, le projet PEPP-PT (Pan-European Privacy Preserving Proximity Tracing) a mis en place une plateforme commune pour définir les bonnes pratiques d’un traçage numérique respectueux de la vie privée.

Mais déjà des voix s’élèvent pour dénoncer les atteintes à la vie privée. Ainsi, chez Amnesty International France, par celle d’Anne-Sophie Simpere, citée sur France 24 :

Les pistes actuellement à l’étude du PEPP-PT sont intéressantes, mais il n’y a pas encore de modèle assez précis pour se prononcer sur la garantie du respect de la vie privée.

Selon elle :

Il faut prouver que les mesures prises sont nécessaires, proportionnées, et surtout, limitées dans le temps ; il faut enfin qu’il y ait des mécanismes de contrôle adéquats avec des possibilités de recours.

Selon les spécialistes, n’importe quelle application est potentiellement dangereuse quant au respect de la vie privée des utilisateurs. Même si elle n’utilise que le Bluetooth, qui permet tout de même de savoir qui croise qui (et quand !). Ainsi, même une application ne se servant que du Bluetooth pour collecter des données peut présenter des dangers.

En effet, on imagine sans difficulté quel usage pourrait en être fait dans un état policier ou bien sous un régime dictatorial.

Vous souhaitez souscrire un forfait pour smartphone pour profiter des applications les plus populaires ? Contactez Selectra pour qu'un conseiller vous oriente parmi les offres partenaires les plus compétitives, en fonction de votre budget : 09 75 18 80 51 (lundi-vendredi 8h-minuit ; samedi 9h30-18h30 ; dimanche 9h-17h) ou demandez à vous faire rappeler gratuitement.

RGPD : un règlement européen pour faire valoir vos droits

Protection des données personnelles : une loi pour quoi faire ?

C’est précisément pour éviter ces dérives que le règlement général sur la protection des données, souvent résumé à ses initiales RGPD, a été adopté le 14 avril 2016 par le Parlement européen. Il est ensuite entré en application le 25 mai 2018. Ce texte est un règlement européen : il encadre le traitement des données de manière identique sur tout le territoire de l’Union Européenne.

Le RGPD protection des données s’inspire et actualise la loi française « Informatique et Libertés » datant de 1978, donc bien avant l’avènement d’internet. Il établit des règles claires et définies sur la collecte et l’utilisation des données. Il a trois objectifs principaux :

  • renforcer les droits des personnes face aux entreprises du net,
  • responsabiliser les acteurs traitant des données,
  • renforcer la coopération entre les différentes autorités de protection des données.

Ce règlement général doit être respecté par tous les acteurs du net : FAI, sites de commerce en ligne etc. Il encadre précisément de ce qui est permis et ce qui ne l’est pas en matière de traitement des données personnelles. Pour les consommateurs, ce texte de référence est aussi un recours précieux en cas de litige.

RGPD : pour renforcer les droits des consommateurs

cadenas ferme

Le premier objectif du RGPD est de protéger les consommateurs face aux géants du net. Tout le monde connaît ces pages et ces pages de conditions générales qu’il faut lire et accepter pour accéder à certains services : personne ou presque ne les lit en détail, tant cela serait fastidieux. Bonne nouvelle, le RGPD leur est supérieur juridiquement pour la protection des données personnelles sur internet : dans tous les pays concernés, c’est à dire les pays de l’Union Européenne, c’est avant tout ce règlement qui fait autorité.

Autre bonne nouvelle : le règlement sur la protection des données personnelles s’applique à tous les organismes établis sur le territoire de l’Union Européenne, mais aussi à tout organisme implanté hors de l’UE dès lors que leur activité concerne des résidents européens… Une disposition de la loi qui vise bien évidemment les GAFA (Google - Apple - Facebook - Amazon...).

Voyons maintenant, concrètement, à quoi peut servir cette loi de protection des données ?

  • à mieux savoir quel usage est fait de vos données : les professionnels du net sont tenus de vous informer de la collecte de vos données personnelles ainsi que de l’usage qui en est fait. Vous pouvez également de façon plus encadrée faire valoir vos droits d’accès aux données collectées et votre droit de retrait de ces informations.
     
  • à récupérer plus facilement vos données : que ce soit pour votre usage personnel ou pour pouvoir les transférer à un autre organisme. L’organisme auprès duquel vous récupérez vos données est tenu de n’en conserver aucune trace.
     
  • à vous faire oublier sur le net : le « droit à l’oubli » est un élément majeur du RGPD. Cela veut dire que vous avez le droit d’exiger la suppression d’une information en ligne vous concernant, comme par exemple le référencement d’un lien sur un moteur de recherche.
     
  • à vous procurer un recours légal : en cas de plainte, vous pouvez déposer un recours auprès de la Commission nationale informatique et libertés (CNIL) ou introduire une action collective en faisant notamment appel aux associations nationales agréées de défense des consommateurs. Nous vous indiquons plus loin comment exercer vos droits avec l’aide de la CNIL.

RGPD : deux règles supplémentaires pour protéger les mineurs

Les usages d’Internet, mobiles ou non, exposent de plus en plus les adolescents, voire les jeunes enfants, aux conséquences des abus du net. C’est pourquoi le RGPD met en place deux règles spécifiques à la collecte et au traitement des données personnelles des mineurs :

  • l’information sur les traitements de données doit être rédigée en des termes clairs et simples que les enfants peuvent aisément comprendre,
  • le consentement doit être recueilli auprès du titulaire de l’autorité parentale.

La CNIL : le guide vers les démarches pour exercer vos droits

La CNIL a déjà réagi au coronavirus

telephone deverouille

La CNIL (Commission Nationale de l’Informatique et des Libertés), organisme officiel créé en 1978, a aujourd’hui pour mission de veiller à ce que l’informatique reste au service du citoyen et qu’elle ne porte atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques.

Depuis le début de la pandémie causée par le coronavirus, la CNIL a par exemple mis en ligne de nombreuses fiches pratiques pour orienter les professionnels dans la poursuite de leur activité et répondre aux questions des personnes sur leurs droits.

Des thèmes du quotidien avec le coronavirus sont abordés sous des angles très divers : depuis les conseils pour bien utiliser les outils de visioconférence jusqu’au cadre légal des SMS d’information envoyés par le gouvernement, sans oublier le point sur les outils numériques utilisés par les enseignants, les élèves et les parents pour assurer la continuité pédagogique, les bonnes pratiques en télétravail pour les salariés etc.

La CNIL : l’interlocuteur idéal pour défendre vos droits

Quelle autorité assure la protection des données personnelles en France ? Il s’agit de la CNIL. Sur son site web, elle vous informe précisément sur la protection des données personnelles et les différents droits que vous pouvez exercer auprès des FAI, sites web ou autres organismes en ligne ; privés ou publics, qui utilisent vos données. Le site de la CNIL vous oriente également vers les démarches à effectuer :

  • pour exercer votre droit d’accès afin d’obtenir et vérifier les données qu’un organisme détient sur vous (et éventuellement les rectifier ou demander à les geler). Vous avez également le droit d’emporter une copie de vos données pour les réutiliser ailleurs.
     
  • pour exercer votre droit à l’information : un FAI ou un site web qui collecte des données sur vous doit en effet proposer une information claire sur l’utilisation des données et sur vos droits. Vous pouvez également accéder aux infos détenues sur les fichiers de police, de gendarmerie et de renseignement, ainsi qu’au FICOBA, le fichier des comptes bancaires et assimilés.
     
  • pour exercer votre droit d’opposition : à tout moment, vous pouvez vous opposer à l’utilisation de vos données par un FAI ou un site web.
     
  • pour exercer votre droit au déréférencement : il s’agit alors de ne plus associer vos nom et prénom à un contenu visible dans un moteur de recherche.
     
  • pour exercer votre droit lié au profilage : l’un des droits moins connus consiste à remonter le fil de votre profilage sur Internet. Ainsi, vous pouvez vous opposer et demander l’intervention d’un humain dans une décision automatisée vous concernant.

Vous disposez ainsi de tous les moyens actuels pour faire valoir vos droits sur le net. De manière générale, la CNIL est l’organisme vers lequel se tourner pour obtenir des informations sur des points de détail ou lancer concrètement une procédure en cas de litige.

Le Comité Européen de la Protection des Données (CEPD)

Enfin, pour être tout à fait complet sur le sujet, il convient d’ajouter qu’au niveau européen, c’est un autre organisme officiel, le Comité Européen de la Protection des Données (CEPD), qui a pour mission de garantir l’application cohérente du Règlement Général sur la Protection des données (RGPD), ainsi que la Directive sur la protection des Données qui l’accompagne juridiquement.

Commentaires