Ce texte s’inscrit en réponse à celui, intitulé « Déconfinement : “Nous nous sommes encore tiré une balle dans le pied avec le RGPD” », publié dans les colonnes du journal Le Monde le vendredi 24 avril 2020.
Sans prendre position sur la question du traçage, nous considérons que les propos exprimés sont susceptibles d’induire en erreur le grand public en ce qu’ils affirment que le RGPD constitue en lui-même un obstacle à cette mesure et, partant, qu’il « risque de nous tuer ». De plus, ces mots conduisent également à masquer le véritable débat qui est avant tout éthique et politique.
C’est pourquoi il nous a semblé indispensable d’y répondre.
Le RGPD est le Règlement général relatif à la protection des données à caractère personnel. Précision souvent oubliée, il est aussi le texte permettant leur libre circulation. Il ne nécessite par ailleurs pas le consentement systématique des personnes, et un traitement peut légalement être mis en œuvre s’il répond justement à une obligation légale. Ainsi, le RGPD n’est pas le carcan dénoncé par certains mais un texte d’équilibre et de consensus. Par son caractère libéral affirmé, il s’adapte sans difficulté au régime politique des États membres de l’Union européenne, tel que le nôtre, répressif en termes de libertés publiques.
Contrairement à un régime préventif, au sein duquel tout est interdit sauf ce qui est expressément autorisé, le régime répressif – même si cela peut paraître contre-intuitif de prime abord – s’avère plus libéral. S’appuyant sur la responsabilité de chacun, il consacre la liberté d’action a priori de l’individu avec, pour contrepartie, la menace d’une répression a posteriori en cas de comportement illicite. Ainsi, tout individu est libre d’entreprendre ce qui n’a pas été explicitement interdit au préalable.
L’entrée en vigueur du RGPD s’inscrit dans cette logique libérale et répressive avec pour conséquence la disparition, dans la plupart des cas, des formalités obligatoires à accomplir auprès de l’autorité de contrôle – la CNIL, en France – avant la mise en œuvre d’un traitement de données. Principe cardinal du RGPD, la responsabilité (l’« accountability ») simplifie la mise en œuvre de traitements de données à caractère personnel. Nombreux sont les traitements qui peuvent désormais être mis en œuvre sans qu’il ne soit nécessaire d’accomplir de « formalités administratives » autres que la tenue d’un registre interne.
Néanmoins, le législateur européen a entendu exclure de cette liberté de traitement certaines catégories particulières de données, autrement appelées « données sensibles ». Au nombre de celles‑ci figurent les données de santé. En principe, leur traitement est interdit. Comme cela est souvent le cas en droit, ce principe est tempéré par différentes exceptions. C’est ainsi que le consentement de la personne concernée peut ici entraîner la levée de l’interdiction. Il en est de même lorsque des intérêts supérieurs – qui doivent prévaloir sur les droits et libertés de la personne concernée – sont en jeu. Cela est notamment le cas lorsqu’il s’agit d’assurer une « protection contre les menaces transfrontalières graves pesant sur la santé ». En pareille hypothèse, le consentement de la personne concernée n’est pas non plus requis par le RGPD.
Bien que l’interdiction de traiter des données de santé puisse être levée sans le consentement des personnes concernées, la situation sanitaire actuelle n’autorise pas pour autant une action en dehors de tout cadre juridique. Le responsable d’un tel traitement aurait notamment pour obligation de prévoir « des mesures appropriées et spécifiques pour la sauvegarde des droits et libertés de la personne concernée, notamment le secret professionnel ». Les solutions techniques en cours de conception par plusieurs équipes de recherche en informatique et en cryptographie vont en ce sens, même si certains de ces chercheurs affirment d’ores et déjà que l’anonymisation sera impossible à garantir en pratique (Larousserie D., Untersinger M., « Coronavirus : les applications de traçage des malades divisent les chercheurs en Europe », Le Monde (édition numérique) 23 avr. 2020). Pour autant, l’anonymisation n’apparaît pas comme une condition de licéité du traitement envisagé au regard du RGPD. Là encore, le principe de responsabilité laisse le responsable de traitement libre des mesures à adopter pour satisfaire à ses obligations en matière de protection des données, pourvu qu’il puisse le justifier et en évaluer les risques.
Conscients de l’évolution rapide des technologies de l’information et de la communication, les rédacteurs du RGPD ont veillé à produire un texte agnostique en ce qui concerne les aspects techniques. Comme notre loi nationale de 1978 l’avait fait avant lui, le RGPD constitue ainsi un cadre souple et propre à s’adapter à la progression des connaissances, en informatique notamment. Cette conception limite significativement le risque que le RGPD vienne, dans un futur proche, entraver l’innovation.
Loin d’être un frein à la mise en œuvre d’un traçage à grande échelle dans une finalité de lutte épidémique, le RGPD constitue un espace de liberté dans lequel il est possible d’agir pour la protection de la santé publique tout en préservant du mieux possible la vie privée des citoyens.
C’est pourquoi il est faux de prétendre que le RGPD crée de nouvelles contraintes -celles-ci existant peu ou prou à l’identique auparavant en France-, voire « risque de nous tuer » en ce qu’il constituerait par nature un obstacle juridique à la mise en œuvre de traitements, ici du traçage. La décision de recourir à une telle solution technique relève avant tout de l’éthique ainsi que d’une mise en balance des droits fondamentaux que constituent le droit à la santé et à la vie, d’une part, et le droit à la vie privée et à la protection des données, d’autre part. Cette décision ne saurait faire l’économie d’un débat démocratique, seul à même de déterminer les restrictions aux libertés individuelles auxquelles la société dans son ensemble est prête à consentir dans l’intérêt général.
Rédigé le 24 avril 2020
– Yoann Gonthier Le Guen, Consultant en protection des données ;
– Victor Larger, Délégué à la protection des données ;
– Fabrice Leclere, Délégué à la protection des données ;
– Florence Celen, Déléguée à la protection des données (secteur public) ;
– Julien Rossi, Enseignant‑chercheur à l’Université Rennes 2 ;
– Jean‑Luc Tessier, Délégué à la protection des données ;
– André Vitalis, Professeur émérite à l’Université Bordeaux Montaigne ;
– Francesca Musiani, Directrice adjointe du Centre Internet et Société du CNRS ;
– Patrick Guillot, Délégué à la protection des données ;
– Guillaume Pourquié, Délégué à la protection des données ;
– Guy Bisiaux, Délégué à la protection des données ;
– Caroline Mascret, Enseignant‑chercheur et Responsable de la formation « Protection des données personnelles dans l’industrie pharmaceutique » à l’Université Paris‑Saclay ;
– Gaël Mahé, Consultant en protection des données ;
– Stéphane Bortzmeyer, Ingénieur réseaux ;
– Nathalie Martial‑Braz, Professeure de droit privé, Université de Paris, membre de l’institut Universitaire de France ;
– Pierre Boudes, Vice-président systèmes d’information de l’Université Sorbonne Paris Nord ;
– Sarah Pauloin, Déléguée à la protection des données ;
– Francis Feytout, Délégué à la protection des données;
– Patrick Blum, ancien Délégué à la protection des données retraité;
– Marion Lehmans, Déléguée à la protection des données.
Ce texte a également reçu le soutien de :
– Hélène Josso-Bouchard, Déléguée à la protection des données;
– Olivier Adam, Délégué à la protection des données;
– Xavier Pichetti, Délégué à la protection des données;
– Federica Minichiello, Déléguée à la protection des données;
– Guillaume Brutus, Délégué à la protection des données;
– Laurent Gärtner, Délégué à la protection des données;
– Audrey Wirtz, Déléguée à la protection des données;
– Dominique François, Délégué à la protection des données;
– Fabrice Mollo, Délégué à la protection des données;
– Sylvie Tournier, Déléguée à la protection des données;
– Pascale Bourbon, Déléguée à la protection des données;
– Lionel Clary, Délégué à la protection des données.