Intervention de Wojciech Wiewiórowski

Monsieur le président, je vous remercie de m'avoir invité pour cet échange de vues. Je suis désolé de devoir m'adresser à vous en anglais, mais mon niveau en français ne m'aurait pas permis d'entrer dans la complexité des questions que nous allons aborder.

Je souligne l'importance de ce que nous allons nous dire aujourd'hui, puisque les décisions que nous allons être amenés à prendre feront sentir leurs effets non seulement à court terme, mais également à plus long terme.

Au préalable, j'aimerais préciser le rôle, d'une part, du Contrôleur européen de la protection des données (CEPD), ou European Data Protection Supervisor (EDPS), et, d'autre part, du Comité européen de la protection des données, ou European Data Protection Board (EDPB).

Le Contrôleur européen de la protection des données est une autorité indépendante de contrôle des institutions et organes de l'Union européenne. Il est aussi le conseiller principal, sur ces sujets, de la présidence de la Commission et des institutions européennes impliquées dans le processus législatif. Mais je ne supervise en aucune manière les autorités nationales telles que la Commission nationale de l'informatique et des libertés en France (CNIL). Les gouvernements de chaque pays sont contrôlés par ces instances nationales et d'autres organes similaires. Et, comme vous le savez certainement, la CNIL a publié la semaine dernière un avis sur le projet d'application mobile « StopCovid » et sur les implications de sa mise en oeuvre.

Le Comité européen de la protection des données, quant à lui, rassemble les autorités de contrôle indépendantes de l'Union européenne telles que la CNIL. En tant que Contrôleur, j'en suis également membre.

En dépit du fait que ces deux institutions sont désignées par le même acronyme en français, le Contrôleur et le Comité sont deux entités distinctes, dont la composition et les compétences diffèrent. Le rôle du Contrôleur est de contribuer à trouver une solution paneuropéenne efficace de traçage, applicable dans tous les pays de l'Union européenne et nous avons été les premiers à appeler de nos voeux une telle approche. Je suis donc ravi de voir que les orientations de la Commission sont en accord avec notre position, qui est aussi celle du Comité.

Avoir une approche paneuropéenne ne signifie pas qu'il faille adopter une application unique partout en Europe, mais cela implique un cadrage identique partout.

Les données et les technologies peuvent faire partie de la solution, mais elles n'en sont qu'un élément et ne sont en aucun cas la panacée. Cela veut dire que les autres mesures qui sont actuellement mises en oeuvre doivent être maintenues ; sans un système de santé solide, sans accès aux tests, nous ne pourrons pas sortir de la situation dans laquelle nous nous trouvons actuellement.

Il est aussi nécessaire de comprendre qu'il est important que ces données et ces technologies soient utilisées comme des outils de responsabilisation plutôt que comme des outils de contrôle, de mainmise, de stigmatisation ou de répression des individus. Je crois fermement que la révolution numérique nous a donné des outils puissants qui, s'ils sont utilisés de manière responsable, pourront être d'un grand soutien pour les gouvernements, au moment où ils essaient de résoudre la quadrature du cercle : protéger les vies tout en levant les restrictions en vigueur.

Je voudrais aussi souligner que ce n'est qu'en travaillant ensemble, tous les Européens ensemble, que nous réussirons à retrouver notre Europe : notre Europe, espace de liberté, nous a été comme « volée » par cette épidémie, nous ne pouvons actuellement pas profiter de l'Union européenne telle que nous la connaissions avant la crise.

La question de la responsabilité doit être posée en ce qui concerne le fait d'utiliser à bon escient les outils disponibles, mais elle doit aussi être posée si nous n'utilisons pas ces outils existants : serait-ce responsable ?

Je vais maintenant répondre à certaines questions que vous avez soulevées dans votre propos introductif, monsieur le président.

Je veux souligner que les situations diffèrent d'un pays à l'autre, tout comme les solutions et options retenues par chacun. Vous avez raison de le souligner : nous nous focalisons pour l'instant sur plusieurs applications de traçage, certaines d'entre elles étant déjà en passe d'être déployées. Ainsi, certaines de ces applications sont déjà utilisées pour s'assurer que les personnes placées en quarantaine respectent bien leurs obligations. Mais c'est un autre sujet.

Aujourd'hui, il existe deux approches possibles s'agissant des applications de traçage des contacts : une approche centralisée et une approche décentralisée. Ce n'est pas un choix binaire et nous devons avoir à l'esprit que certaines fonctionnalités sont communes aux deux types d'applications.

Les débats autour de ces deux approches sont nombreux en ce moment et très polarisés. Pour nous, autorités de contrôle et de protection des données, ce à quoi correspond cette nomenclature n'est pas très clair. Ainsi, une forme de serveur centralisé est toujours nécessaire. La question principale est de savoir ce qui est centralisé et pour quelle raison, mais c'est surtout une question d'efficacité : la solution retenue est-elle efficace pour le traçage épidémiologique ?

Je n'entrerai pas dans le détail de ces deux approches, mais je serai ravi, à l'occasion, de vous en détailler les différences techniques. Les autorités de protection des données n'ont à ce jour pas tranché en faveur de l'option décentralisée ou de l'option centralisée.

Il convient également d'adopter une approche très nuancée s'agissant de l'évaluation des possibilités offertes par certaines applications. Vous avez indiqué que l'application norvégienne collectait des données de géolocalisation. Pour le traçage des contacts, il est possible d'inclure une option de géolocalisation. Ce qui pose question concernant l'application norvégienne, c'est que cette option de géolocalisation y est activée par défaut. Or, ce qu'il faudrait, c'est que chacun, individuellement, puisse choisir ou non de partager sa géolocalisation.

Vous avez raison, l'utilisation de ces applications doit se faire sur une base volontaire, mais cette approche est à distinguer du consentement. Si des données doivent être stockées ou transmises aux autorités de santé d'un pays, nous estimons que la base légale appropriée pour le traitement de ces données est l'intérêt public.

L'approche volontaire, qui consiste pour un utilisateur à télécharger l'application et à l'installer sur son smartphone, implique que, si l'utilisateur désinstalle l'application, les données déjà collectées ne sont pas systématiquement effacées : il subsiste la possibilité que les autorités traitent ces données dans l'intérêt public. Mais il est essentiel que ce traitement de données soit soumis à des garde-fous.

Pour les autorités de protection des données, voici quelles sont les conditions sine qua non.

D'une part, ces données doivent être utilisées et conservées de manière temporaire, et il doit être précisé ce qu'il en sera fait une fois l'épidémie terminée.

D'autre part, l'objectif du traitement des données doit être clairement explicité et on doit savoir qui y aura accès. En outre, la façon dont ces données sont traitées doit faire l'objet d'un contrôle.

Vous m'avez demandé si l'impact sur la vie privée des dispositifs mis en oeuvre a fait l'objet d'une évaluation. Malheureusement, je ne peux pas vous confirmer qu'une telle évaluation a été faite dans tous les cas.

Au regard de l'introduction en Europe de ce type de dispositif, voici ce qui me paraît être le plus important.

Premièrement, je pense que la situation dans laquelle ces données et technologies sont les plus efficaces, c'est lorsqu'on s'en sert pour responsabiliser le public, et non à des fins de contrôle ou de discrimination des individus. La confiance dans les autorités publiques est essentielle à cet égard. Est-ce que le citoyen peut avoir confiance en elles ? Si la réponse à cette question est positive, les citoyens seront nombreux à accepter le recours à ces technologies et leur efficacité sera ainsi renforcée. -C'est donc une question qui doit être abordée en premier lieu dans tous les pays de l'Union européenne, et à tous les niveaux. Plus une solution est ouverte, plus elle suscitera la confiance.

Deuxièmement, cette technologie n'est pas la panacée et elle ne fonctionnera pas toute seule, sans les autres outils déjà mis en oeuvre.

Troisièmement, il faut que ce soit clair pour tous les acteurs : la protection des données ne fait pas partie du problème ; elle fait partie de la solution.

Comme je l'ai dit, la protection des données implique de la transparence et du contrôle ; elle nécessite de la confiance. Le choix entre une approche centralisée et une approche décentralisée autour des applications fait débat, et cette question n'est pas résolue. Il faut examiner chaque situation au cas par cas.