Coronavirus : Pour Jean Michel Mis, député LREM, “le RGPD n’interdit pas le recueil de données sans consentement en cas de crises sanitaires”

Création : 6 avril 2020
Dernière modification : 20 juin 2022

Auteur : Amélie Brucher, étudiante à Sciences Po Saint-Germain-en-Laye, sous la direction de Vincent Couronne, docteur en droit public, chercheur au VIP-Paris Saclay

Source : LCI, 25 mars 2020

Le Règlement général sur la protection des données (RGPD) permet l’utilisation des données de santé privées à des fins de lutte contre la pandémie, mais il existe tout de même des conditions à respecter pour respecter un minimum la vie privée des individus, contrairement à ce que laisse penser le député Jean-Michel Mis.

Interrogé sur le cadre réglementaire de la collecte de données afin d’endiguer l’épidémie de coronavirus (Covid-19) en France, Jean Michel Mis, député LREM, a affirmé sur LCI : « Le RGPD n’interdit pas le recueil de données sans consentement en cas de crises sanitaires. » Ces propos s’inscrivent dans le débat autour de l’utilisation du « tracking » pour faire respecter le confinement, autrement dit le pistage numérique de la population, à travers l’utilisation des données de localisation de leur téléphone portable, à l’instar des technologies de surveillance de masse qui ont d’ores et déjà été développées en Chine notamment.

Il est vrai que l’administration dispose de pouvoirs intrusifs lorsqu’elle traite nos données personnelles. Elle a même la possibilité de fonder ses décisions individuelles, comme par exemple l’octroi d’une prestation sociale, sur le traitement automatisé de ces données (article 22 paragraphe 4 du RGPD). Mais les propos de Jean Michel Mis doivent être nuancés, notamment quant à la nature des données en jeu et aux modalités de leur traitement, dont certaines sont dites « sensibles ».

Ces données sensibles sont listées dans l’article 9 du Règlement général de l’Union européenne sur la protection des données (RGPD). Il s’agit des données de santé identifiant les patients diagnostiqués ou encore les données biométriques, comme les données de localisation qui aussi peuvent permettre d’identifier les personnes. Le traitement de ces données sensibles est par principe interdit par le RGPD, sauf dans certaines conditions bien particulières. Ces conditions sont listées à l’article 9 paragraphe 2 du RGPD. Il faut un « motif d’intérêt public important », ce qui ne fait guère de doute en l’occurrence. Surtout, le traitement des données doit être proportionné à l’objectif poursuivi, c’est-à-dire que seules les données nécessaires à la lutte contre la pandémie peuvent être collectées et traitées. Il faudra donc, pour satisfaire cette condition, voter une loi posant un certain nombre de restrictions, notamment de portée et de durée du traitement des données, afin que ce traitement n’aille pas au-delà de ce qui est strictement nécessaire à l’objectif de lutte contre la pandémie. Cela signifie qu’en aucun cas les données ne devront être conservées de manière illimitée. C’est également ainsi que le traitement pourra « respecter l’essence du droit à la protection des données ».

De plus, le RGPD impose des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts des personnes concernées, en particulier le respect de la vie privée. Une réflexion devra être entamée sur la sécurisation des données collectées et traitées, et sur l’élaboration de garde-fous visant, par exemple, à éviter que ces données ne violent de manière trop importante la vie privée des individus.

Autre possibilité pour que, dans la cadre de la crise sanitaire, les données des individus soient recueillies sans leur consentement : anonymiser ces données. Comme l’a précisé le contrôleur européen de la protection des données personnelles, il s’agira de faire en sorte qu’il soit impossible d’identifier les personnes, même par la géolocalisation. Mais dans ce cas, les données ne serviraient pas le même objectif : il s’agirait de produire un aperçu des mouvements de population sur le territoire et non d’identifier les personnes, comme cela se fait par exemple en Israël via une application, qui alerte les personnes susceptibles d’avoir été contaminées grâce à l’historique de leurs téléphones portables. Une fois anonymisées, les données ne sont plus soumises au RGPD et aux obligations qui en découlent, ce qui supprime les contraintes décrites ci-dessus.

Malgré les garde-fous imposés par le RGPD, un tel traitement de données sensibles représente tout de même une ingérence forte de l’État dans la vie privée de ses citoyens. Cela ne semble cependant pas préoccuper outre mesure les français : 8 citoyens sur 10 se disent favorables à l’utilisation d’une application enregistrant leurs interactions sociales et les avertissant s’ils ont été en contact avec une personne malade.

Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.