Publié le 31 mars 2020 à 16:22 Mis à jour le 31 mars 2020 à 18:23

Le gouvernement réfléchit activement à l'éventualité du « tracking » (traçage) de personnes atteintes du Covid-19. Mais la Commission nationale de l'informatique et des libertés (CNIL) veille. Et les appels à la vigilance du gardien de la vie privée des Français sont autant de freins, alors que pourrait être lancée une application mobile de suivi des déplacements, susceptible de collecter des informations personnelles - un sujet qui provoque un vif débat en France.

Lire aussi : Le gouvernement prépare une application mobile pour enrayer l'épidémie

​Si la CNIL ne s'est pour l'heure pas prononcée dans le détail sur ce qu'il est possible de faire, une note interne des services de Marie-Laure Denis, sa présidente, donne de premières indications. Le document stipule d'abord que tous les usages de la géolocalisation ne se valent pas.

Par exemple, le suivi des flux de population via les données anonymisées d'un opérateur télécoms pose moins de questions aux garants de la protection des données personnelles, que le pistage d'un citoyen consentant pendant la période d'incubation de la maladie via son smartphone individuel.

Ce dispositif serait lui-même moins propice aux abus, comparé aux scénarios vus à l'étranger où les citoyens sont obligés d'activer une telle application pour sortir du confinement.

Privilégier l'anonymisation des données

La CNIL privilégie clairement l'anonymisation des données, mais à une condition : qu'elle soit réalisée dans les règles de l'art. « Que l'on parle de localisation de population ou d'applications individuelles, il existe des solutions, notamment le chiffrement, pour limiter le risque de ré-identification », indique Yves-Alexandre de Montjoye, chercheur en mathématique à l'Imperial College de Londres.

Le problème ne peut pas être pris à la légère : en 2013, le même chercheur avait montré qu'il suffisait de savoir où se trouvait une personne à quatre reprises sur une période de temps donnée pour retrouver l'ensemble de ses déplacements au sein d'un jeu de données réputé anonymisées réunissant les points de géolocalisation de 1,5 million d'Européens…

Une éventuelle dérogation au RGPD

La CNIL n'est pas opposée par principe aux applications de « contact tracing ». Mais elle encourage à en définir les objectifs avec les scientifiques afin d'en mesurer l'efficacité. Elle veille par exemple à ce que les personnes âgées qui n'emportent pas un smartphone où qu'elles aillent, ou les personnes qui l'éteignent la nuit, ne soient pas exclues d'un programme de santé publique des citoyens.

Lire aussi : A l'étranger, ces entreprises proches des services secrets au service des autorités sanitaires

Dans le cas où une application de « contact tracing » deviendrait obligatoire avant une sortie du confinement, le gouvernement dérogerait alors au cadre juridique ordinaire établi par le règlement général sur la protection des données (RGPD) et la directive ePrivacy. Le consentement des citoyens au suivi de leurs déplacements ne serait alors pas libre.

« Si la France souhaitait prévoir des modalités de suivi non anonymes plus poussées, le cas échéant sans le consentement préalable de l'ensemble des personnes concernées, une intervention législative s'imposerait », prévient la CNIL dans sa note. Chaque exception aux principes européens devrait ainsi être justifiée.