Monsieur le président, mesdames, messieurs les sénateurs, je vous remercie d'auditionner la CNIL dans le cadre de vos travaux de suivi de la crise sanitaire sans précédent que nous traversons. Je suis accompagnée de Gwendal Le Grand, secrétaire général adjoint de la CNIL, tandis que Louis Dutheillet de Lamothe, notre nouveau secrétaire général, est avec nous en visioconférence.
J'ai tout d'abord une pensée pour tous ceux qui souffrent et tous ceux qui accompagnent quotidiennement les victimes et la population.
Les enjeux généraux de la protection des données face au traçage et au suivi numérique doivent être appréhendés à l'aune de ce contexte particulier, dans lequel la continuité d'activité repose sur des outils numériques consommateurs en données personnelles et qui sont massivement utilisés, qu'il s'agisse, entre autres, de la télémédecine, du télétravail ou des cours à distance. La CNIL joue tout son rôle d'accompagnement à l'égard des particuliers, des entreprises et des pouvoirs publics et donne des conseils pratiques et pédagogiques relatifs à la cybersécurité ou à la visioconférence.
Notre implication est également très forte concernant les recherches médicales qui utilisent des données personnelles, dont celles qui visent à tester des traitements et à analyser les formes graves de l'infection. La CNIL a mis en place une procédure accélérée d'instruction et a déjà délivré depuis le début de la crise une vingtaine d'autorisations à l'Assistance Publique - Hôpitaux de Paris (AP-HP), à l'Institut national de la santé et de la recherche médicale (Inserm), à l'Institut Pasteur et à plusieurs centres hospitaliers universitaires (CHU). Toutefois, la majorité des projets peuvent être mis en oeuvre sur simple déclaration à la CNIL.
Par ailleurs, la CNIL a rapidement pris contact avec Régions de France, l'Assemblée des départements de France et l'Association des maires de France, afin d'aider les collectivités territoriales à gérer la crise sanitaire. Les demandes proviennent essentiellement des communes et concernent les conditions de l'utilisation des registres communaux d'alerte et d'information, qui ont été créés par la loi de juin 2004, après la canicule de 2003, et recensent les personnes les plus vulnérables.
Conformément au souhait du législateur, la CNIL a veillé à ce que ces registres soient constitués sur la base du volontariat et ne deviennent pas des « fichiers de population ». Et lorsque des élus locaux nous saisissent pour utiliser d'autres fichiers, la CNIL s'efforce toujours de trouver des solutions dans un esprit constructif, tout en rappelant le cadre légal.
Sur la question qui est au coeur du débat public, à savoir le suivi numérique individualisé en vue de déterminer si une personne a été exposée au Covid-19, la CNIL a deux convictions en la matière.
La première est que les textes qui protègent les données personnelles ne s'opposent pas à un dispositif de suivi numérique, individualisé ou non, pour la protection de la santé publique, à condition de prévoir des garanties adaptées et d'autant plus fortes que les technologies sont intrusives. La mise en place de ce cadre respectueux de la vie privée est nécessaire pour asseoir la confiance, créer les conditions d'une acceptabilité sociale d'une technique potentiellement intrusive et garantir la sécurité de son utilisation. J'y insiste, le débat ne doit pas porter sur la meilleure manière de s'affranchir du cadre juridique national ou européen, puisqu'il comporte déjà actuellement lui-même les solutions permettant bien de répondre à la situation.
Notre seconde conviction provient du recours aux technologies numériques. Il faut se garder de tout « solutionnisme technologique », qui consisterait à penser qu'une application résoudra tout. Certes, les nouvelles technologies peuvent contribuer à une sortie sécurisée du confinement, mais de façon complémentaire, dans le cadre d'une stratégie sanitaire plus globale, car le risque est grand de baisser la garde par rapport à la nécessité des gestes barrières, du port du masque et des tests. En outre, cela ne prend pas en compte les cas asymptomatiques, qui représentent jusqu'à 30 % des personnes contaminées. Enfin, il est aujourd'hui difficile d'évaluer les bénéfices effectifs de ces solutions, d'autant que les usages peuvent varier, tant au niveau des données collectées que des finalités poursuivies.
C'est dans cette optique que la CNIL a décidé de s'entourer d'une double expertise : d'une part, la connaissance de l'ensemble des dispositifs techniques utilisés, des projets envisagés et des solutions imaginées dans le monde pour lutter contre la pandémie - c'est l'objet de la veille continue que réalisent nos experts scientifiques et juridiques depuis la mi-mars - ; d'autre part, la compréhension de l'intérêt des différentes solutions avancées en termes de santé publique, et ce pour être capable d'en mesurer la nécessité, la proportionnalité et la pertinence. C'est ainsi que le collège de la CNIL a auditionné voilà quinze jours le président du Conseil scientifique, Jean-François Delfraissy.
Je ne citerai devant vous que quelques exemples étrangers, et seulement pour dégager quelques grandes tendances en matière d'utilisation technologique des données, car ces comparaisons font souvent abstraction des particularismes locaux et de la multiplicité des techniques utilisées, qu'il s'agisse des caméras thermiques, de la reconnaissance faciale ou de l'utilisation de drones.
Les différents États à travers le monde ont recours aux données de localisation pour trois séries de finalités: premièrement, cartographier la propagation du virus, prédire les zones à risque et aider les autorités à planifier les besoins sanitaires, ce qui comprend une modélisation, une anticipation et une observation à partir de données suffisamment agrégées pour être anonymisées et cesser d'être personnelles ; deuxièmement, faire respecter les mesures prises par les gouvernements, distanciation sociale ou confinement ; troisièmement, retrouver les personnes potentiellement exposées pour les avertir et, si besoin, les inviter à se faire dépister. Cela peut se faire à partir de données retraçant le parcours d'une personne - géolocalisation par GPS - ou simplement ses contacts, et cela peut éventuellement, comme le font certains pays, aller jusqu'à recouper ces données de localisation avec d'autres informations, bancaires, douanières, pénitentiaires ou autres.
Pour atteindre ces trois objectifs, on peut distinguer schématiquement deux séries de techniques : la localisation « individuelle » et la localisation « collective ».
La localisation individuelle est beaucoup utilisée en Asie, au Moyen-Orient et un peu en Europe, mais selon des modalités variables. La Corée du Sud utilise à la fois l'information et le contrôle, puisque le Gouvernement peut ordonner d'installer une application pour vérifier le respect du confinement ; Singapour privilégie le volontariat. Pour ce faire, la technologie Bluetooth permet d'identifier les personnes potentiellement exposées.
La localisation collective a été mise en oeuvre par plusieurs pays européens dont l'Italie, l'Autriche et l'Allemagne. En France, des partenariats entre Orange et l'Inserm, et entre SFR et l'Institut national de recherche en informatique et en automatique (Inria), puis l'AP-HP, ont permis l'utilisation de données anonymisées afin de cartographier la propagation de l'épidémie.
Quelles premières analyses peut-on tirer de ces solutions proposées concernant l'informatique et les libertés ?
Le cadre juridique français, comme européen, vise à garantir la maîtrise maximale des personnes sur leurs données.
La directive dite « e-privacy » de 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques pose, aux termes de ses articles 5 et 9, un cadre très strict : sauf anonymisation, le traitement des données de localisation est soumis au consentement de l'utilisateur. Les dérogations législatives possibles au consentement sont énumérées à l'article 15 de la directive, parmi lesquelles figure la sécurité publique, et s'articulent avec l'article 34 de la Constitution, qui réserve à la loi le soin de fixer les règles concernant les garanties fondamentales accordées aux citoyens. Faute d'accord de l'utilisateur, il faudrait donc vraisemblablement une loi pour mobiliser ces exceptions.
Le RGPD, qui a été introduit dans notre droit en mai 2018, offre lui aussi un cadre juridique strict, avec trois exigences : d'abord, tout traitement de données doit reposer sur une base légale, qui peut être en l'occurrence le consentement de l'utilisateur, comme prévu à l'article 6 dudit règlement, ou encore une mission d'intérêt public ou la sauvegarde des intérêts vitaux des personnes. Concrètement, le traitement des données pourra être fondé soit sur le volontariat, soit en ayant recours à la loi. Ensuite, la deuxième exigence du RGPD concerne plus spécifiquement le traitement des données de santé susceptibles d'être collectées dans de nombreux dispositifs mis en oeuvre pour gérer la crise sanitaire. Le traitement de telles données est en principe interdit, sauf certaines exceptions. Parmi ces exceptions figurent le consentement de la personne ; les nécessités de sa prise en charge sanitaire ; l'intérêt public dans le domaine de la santé publique ; pour les seules personnes dans l'incapacité d'exprimer leur consentement, la sauvegarde de leurs intérêts vitaux ; la recherche peut également constituer une autre exception au principe du consentement ; enfin, les États doivent respecter une série de principes et de garanties, même lorsqu'ils ont des raisons légitimes de limiter certains droits ou d'instaurer certaines obligations, tels que la proportionnalité des données traitées et la sécurité de leur conservation. L'objectif de ces règles est de maximiser la maîtrise des personnes sur leurs données.
Au regard de ce double cadre juridique, e-Privacy et RGPD, la CNIL peut, à ce stade, émettre un faisceau de recommandations, non sur un projet en particulier, mais sur des principes à respecter au-delà de la nécessité de disposer d'un fondement juridique adéquat pour traiter les données.
Tout d'abord, il faut préciser les finalités du traitement à mettre en oeuvre, poser des limites dans le temps et expliquer pourquoi le recours aux données de contact est adéquat - réellement utile pour juguler la crise sanitaire - , nécessaire - faute d'alternative, démontrer qu'il ne s'agit pas d'une solution de confort -, et proportionné. Sur ce dernier point, le Comité européen de la protection des données (CEPD), qui réunit les CNIL européennes, a indiqué que les solutions les moins intrusives doivent toujours être privilégiées.
En outre, cette proportionnalité pourra aussi être évaluée au regard du caractère temporaire, uniquement lié à la gestion de crise, du dispositif envisagé., j'y insiste. Il faut aussi s'assurer, après l'utilisation des données, de leur suppression, en prévoyant une sorte d'obsolescence programmée, même si l'on peut imaginer que certaines informations anonymisées soient conservées pour la recherche.
Il convient également de respecter le principe de « minimisation » des données traitées, en utilisant le moins d'informations nominatives possible ou en les associant à un identifiant unique créé lors de l'installation de l'application, afin d'assurer aux personnes visées la maîtrise sur leurs données.
Pour que le consentement soit valable, il faut que ce soit un consentement éclairé, c'est-à-dire pleinement informé, et qu'il y ait bien absence, en cas de refus, de conséquences négatives - comme cela se produit parfois à l'étranger avec la réduction de la faculté de déplacement ou d'autres libertés civiles. Concrètement, si un refus d'utiliser l'application réduit les libertés de déplacement ou expose à un régime de contrôle, le consentement ne peut servir de base juridique au sens du RGPD.
Enfin, pour garantir les libertés individuelles, il faut privilégier le stockage des données en local sur le terminal de l'utilisateur. C'est ce que semble envisager la France, en s'appuyant sur le Bluetooth et non sur un suivi continu et géolocalisé par GPS. De ce point de vue, la CNIL, qui est un acteur à part entière de la cybersécurité et de la défense de la souveraineté européenne, travaille en étroite collaboration avec l'Agence nationale de la sécurité des systèmes d'information (Anssi).
Le niveau européen est le plus pertinent en matière de protection des données. C'est pourquoi le Comité européen de la protection des données, qui rassemble les autorités nationales, a donné une première grille d'analyse dès le 19 mars dernier. Nos réunions sont désormais hebdomadaires, et elles ont déjà permis de dégager trois priorités : l'utilisation des données de localisation et l'anonymisation de celles-ci - réflexion pilotée par la CNIL -, l'utilisation des données de santé, et le télétravail.
Concernant le premier de ces sujets, nous avons déjà transmis des éléments de réflexion à la Commission européenne, qui devrait publier incessamment une sorte de « boîte à outils ». Le CEPD, quant à lui, publiera au plus tard dans une dizaine de jours ses recommandations.
Il est délicat, pour conclure, d'apporter des réponses précises sur un dispositif dont les contours ne sont pas encore définis, mais le collège de la CNIL est conscient qu'il est urgent de conjuguer efficacité sanitaire et protection des données, afin de donner confiance à nos concitoyens et de susciter une adhésion massive de leur part. Les deux sont indissociables. L'organisation d'un débat parlementaire favorisera la transparence et contribuera à bâtir ce cadre de confiance. La CNIL assurera toutes ses missions d'accompagnement et de contrôle.