Ces sociétés, qui comprennent également Telefonica, Telecom Italia, Telenor, Telia, et A1 Telekom Austria, ont rencontré lundi le commissaire européen au Marché intérieur et au Numérique Thierry Breton.
La Commission agrégera ces données de géolocalisation afin de coordonner des mesures pour endiguer la propagation du virus, a expliqué un responsable européen. Les données seront détruites une fois la crise sanitaire surmontée, a-t-il assuré, afin de répondre aux inquiétudes concernant de possibles violations de la vie privée.
Le Contrôleur européen de la protection des données (EDPS) a déclaré que ce projet n’enfreignait pas a priori les règles sur la vie privée tant que des garde-fous sont établis.
Dans une lettre dévoilée sur son site, le Contrôleur européen à la protection des données assure que le RGPD est suffisamment « flexible » pour permettre la mise en œuvre de mesures visant à lutter contre le coronavirus. Il y est abordé notamment trois points :
- l’anonymisation des données
« Il ressort clairement de votre lettre que vous avez l'intention de n'utiliser que des données anonymes pour cartographier les mouvements de personnes dans le but d'assurer la stabilité du marché intérieur et de coordonner la réponse aux crises. Les données effectivement anonymisées n'entrent pas dans le champ d'application des règles de protection des données.
« Dans le même temps, une anonymisation efficace nécessite plus que la simple suppression des identifiants évidents tels que les numéros de téléphone et les numéros IMEI. Dans votre lettre, vous mentionnez également que les données seraient agrégées, ce qui peut fournir une protection supplémentaire.
« Je comprends que le comité de sécurité sanitaire institué par la décision (UE) 1082/2013 à laquelle vous faites explicitement référence serait le forum pertinent pour les échanges avec les États membres dans ce cas. La Commission devrait veiller à ce que le modèle de données lui permette de répondre aux besoins des utilisateurs de ces analyses. En outre, la Commission devrait définir clairement l'ensemble de données qu'elle souhaite obtenir et garantir la transparence vis-à-vis du public, afin d'éviter tout malentendu éventuel. J'apprécierais si vous pouviez partager avec moi une copie du modèle de données, une fois défini, pour information ». - La sécurité des données et l'accès aux données
« Comme indiqué ci-dessus, dans la mesure où les données obtenues par la Commission seraient anonymes, elles n'entrent pas dans le champ d'application des règles de protection des données. Néanmoins, les obligations de sécurité de l'information prévues par la décision 2017/464 de la Commission s'appliquent toujours, de même que les obligations de confidentialité prévues par le statut pour tout personnel de la Commission traitant les informations. Si la Commission se fie à des tiers pour traiter les informations, ces tiers doivent appliquer des mesures de sécurité équivalentes et être également liés par des obligations strictes de confidentialité et des interdictions d'utilisation ultérieure.
« Je voudrais également souligner l'importance d'appliquer des mesures adéquates pour assurer la transmission sécurisée des données des fournisseurs de télécommunications. Il serait également préférable de limiter l'accès aux données à des experts autorisés en épidémiologie spatiale, protection des données et science des données ». - La conservation des données
« Je me félicite également que les données obtenues auprès des opérateurs mobiles soient supprimées dès la fin de l'urgence actuelle.
« Il doit également être clair que ces services spéciaux sont déployés en raison de cette crise spécifique et sont de caractère temporaire. Le CEPD souligne souvent que de tels développements ne contiennent généralement pas la possibilité de prendre du recul lorsque l'urgence a disparu. Je voudrais souligner qu'une telle solution doit toujours être reconnue comme extraordinaire ».
Du côté de la France, une première expérimentation vient de débuter sous la forme d'un partenariat entre l’Inserm, l’Institut national pour la recherche médicale, et Orange. Concrètement, Orange transmet à l’Inserm les données de géolocalisation des téléphones de ses clients. Celles-ci sont collectées automatiquement à chaque fois que l'on se connecte sur son téléphone via les 50.000 antennes relais qui maillent le territoire. Le choix d’Orange est d’ordre stratégique étant donné qu’il équipe 40% des Français.
Les données de géolocalisation d’Orange vont être extrapolées pour déterminer où sont précisément les gens en France actuellement. En récupérant les données aujourd’hui, on peut les comparer avec celles récoltées avant le confinement et savoir précisément, par exemple, où sont partis se réfugier les habitants des grandes villes.
Ensuite, l’Inserm va croiser ces données avec plusieurs facteurs médicaux liés au Covid-19 : les principaux foyers d’infection, la vitesse de propagation du virus, mais aussi la capacité d’accueil des hôpitaux. Une fois passées à la moulinette de l’Inserm, ces données pourraient permettre d'ajuster les effectifs des personnels soignants pour les déplacer là où on en aura le plus besoin.
Mais le CARE, le comité de chercheurs, a pour mission d’aller plus loin. Il doit conseiller le gouvernement sur « l’opportunité de la mise en place d’une stratégie numérique d’identification des personnes ayant été au contact de personnes infectées ».
La CNIL a d'ores et déjà posé des limites en affirmant qu'un suivi individuel « devrait reposer sur une démarche volontaire de la personne concernée ». Et si la France souhaitait aller plus loin et se passer du consentement des personnes concernées, « une intervention législative s’imposerait ». « Il faudrait alors s’assurer que ces mesures législatives dérogatoires soient dûment justifiées et proportionnées (par exemple en termes de durée et de portée) », souligne la CNIL.
Sources : Reuters, lettre de l'EDPR , Europe1
Et vous ?
Que pensez-vous de cette stratégie ?