Intervention de Wojciech Wiewiórowski

Commission des affaires européennes — Réunion du 27 avril 2020 à 16h35
Justice et affaires intérieures — Audition de M. Wojciech Wiewiórowski contrôleur européen de la protection des données en téléconférence

Wojciech Wiewiórowski, Contrôleur européen de la protection des données :

Merci pour toutes ces questions, auxquelles je vais essayer de répondre succinctement. La plupart d'entre elles touchent aux interrogations philosophiques fondamentales de protection des données et de la vie privée.

Sur les données de santé, vous avez raison : les volumes de données transmises dans la lutte contre le Covid-19 sont absolument colossaux. Il est vrai que les entités et les personnes impliquées dans le traitement de ces données sont pour la plupart nouvelles. Mais les initiatives et les solutions juridiques se trouvent souvent au niveau national. La CNIL est la mieux placée pour vous répondre pour le territoire français. Le Comité européen de la protection des données a commencé à examiner cette question : la semaine dernière, il a publié un avis sur l'utilisation des applications de traçage, et un autre sur l'utilisation scientifique des données de santé. Ce dernier a été préparé par deux rapporteurs : le membre français et le Contrôleur européen de la protection des données. Ce sujet était donc au coeur des débats.

Malheureusement, je ne peux pas vous répondre sur la situation en Pologne. Le Contrôleur européen de la protection des données n'a aucune compétence pour commenter les procédures de vote à distance au sein des États membres - même s'il s'agit de mon pays d'origine et que j'aimerais beaucoup vous partager mon avis personnel sur ce sujet. C'est à la Commission européenne qu'il pourrait revenir de faire des observations. Il n'y a pas de directive communautaire sur le déploiement des systèmes de vote électronique, puisqu'ils sont de la compétence de chaque État membre.

Les applications ne sont effectivement pas une panacée, il faut aussi des tests, et que ceux-ci soient accessibles. Sans doute les ai-je mentionnés trop rapidement. Avoir des tests accessibles est essentiel pour le bon déploiement de ce système. L'application mobile ne sera efficace que si, lors de son déploiement, les personnes risquant d'avoir été infectées ont la possibilité de se faire tester. L'application ne dira jamais si vous êtes infecté, mais seulement si vous vous êtes trouvé à proximité d'une personne infectée... À vous d'évaluer s'il est nécessaire ou non que vous vous fassiez tester. Par exemple, si je reçois l'information que j'ai été proche d'une personne infectée à un moment où je me trouvais chez moi, la personne se trouvait probablement de l'autre côté du mur... Alors que si je reçois une telle notification concernant un moment où j'étais dans les transports en commun, il est clair que je dois me faire tester pour vérifier que je n'ai pas été contaminé...

Certes, il y a en outre un risque de « faux positifs » : dans ce cas, des personnes seront informées qu'elles risquent d'avoir été contaminées, alors qu'il n'y avait en réalité aucun risque à ce moment-là, aucune possibilité qu'elles se soient trouvées en contact, à ce moment-là, avec une personne infectée. En effet, ce n'est pas l'individu qui est tracé, mais son téléphone. Or on peut laisser son téléphone dans sa voiture, sur un parking...

Les personnes qui travaillent sur le développement de telles applications ou dans le domaine de la santé estiment qu'un soutien social et psychologique est très important pour les personnes qui reçoivent l'information qu'ils ont été en contact avec une personne infectée - et donc qu'ils ont un risque d'être infectés - via une application. Dans un système de traçage manuel, il est plus facile d'informer ces personnes potentiellement contaminées de ce qu'ils peuvent faire ou ne pas faire, après avoir reçu cette information ; avec une application numérique, ce n'est plus possible. Et nous ne sommes pas sûrs que tous comprendront que la notification donnée par l'application n'est qu'une information sur la possibilité d'avoir été contaminé et non un verdict de contamination.

Une de vos questions portait sur le protocole Robert qui reprend les principes de l'utilisation volontaire, de la transparence, de la préservation de l'anonymat et de l'interopérabilité. Son but est de préserver l'aspect privé des données ainsi que la sécurité. À notre connaissance, il s'agit d'un modèle centralisé, mais où il est garanti que les autorités n'auront pas accès aux données personnelles des utilisateurs ni à leur localisation. Cependant, comme nous ne savons pas précisément comment les données seront traitées sur le serveur, il ne nous est pas possible de donner un avis. Malgré tout, ce protocole semble intéressant du point de vue de la sécurité des données.

Une autre question concernait l'éventuelle discrimination des personnes choisissant de ne pas utiliser l'application de traçage. Je vous confirme qu'il s'agit d'un problème que nous étudions actuellement. Je serais le premier à conseiller à tout un chacun de télécharger cette application, dans la mesure où il est établi que le dispositif est soumis à un contrôle efficace ; en même temps, je serais le dernier à conseiller des solutions obligatoires. En premier lieu, comment peut-on s'assurer que l'obligation est respectée ? Un agent de police pourra-t-il contrôler dans la rue qu'un citoyen a bien son téléphone sur lui, qu'il a téléchargé la dernière version de l'application et que sa batterie est suffisamment chargée pour que le Bluetooth soit opérationnel ? Je ne peux l'imaginer... Je partage les inquiétudes que vous avez exprimées quant à la stigmatisation des personnes qui ne téléchargeraient pas l'application ; pour autant, ce n'est pas l'obligation de télécharger qui doit primer ; nous devons nous focaliser sur la confiance.

La question du partage des données et de leur utilisation par des entités commerciales a été posée. Je suis très heureux de constater que tout le monde a conscience que les données relatives à la santé ne sont pas seulement utiles du point de vue de la santé publique, mais peuvent aussi donner lieu à une utilisation commerciale. Cela veut dire que tout le monde se pose la question de l'accès à ses données personnelles et de leur utilisation. Je peux vous dire que, quand Google et Apple se sont alliés pour le développement des applications utilisables sur les téléphones portables, ils ont insisté sur le fait qu'ils ne collecteraient pas de données d'ordre médical, parce qu'ils avaient conscience que ce serait la première question qui leur serait posée en Europe et que les différents législateurs, en Europe, sont très au fait de la crainte de leurs concitoyens quant à l'utilisation de leurs données personnelles à des fins autres que la santé publique. Il est certain qu'il y a de plus en plus de données partagées dans le contexte de cette crise du Covid-19, mais je suis heureux de constater que les défis que cela soulève en matière de protection des données et de la vie privée ont été identifiés par les utilisateurs et les développeurs de ces solutions technologiques comme extrêmement importants.

Concernant l'utilisation de solutions développées dans des pays asiatiques comme la Corée du Sud, le Japon et le Vietnam, même les représentants de ces pays ont reconnu que les solutions efficaces dans leur société ne sont pas nécessairement transposables dans d'autres sociétés. Ce sont exactement les propos qu'a tenus le principal développeur de la solution mise en oeuvre à Singapour : la société singapourienne est très différente des sociétés européennes, les compétences y sont très différentes, c'est une société très urbaine ; c'est aussi une société où les données biométriques, par exemple les empreintes digitales, figurent sur la carte d'identité depuis plus de soixante-dix ans. Les sociétés de la Corée du Sud ou de Taïwan ne diffèrent pas seulement des nôtres par leurs conceptions philosophiques : ces pays vivent sous la menace permanente d'une invasion par un ennemi extérieur et sont isolés géographiquement. Le recours aux solutions pratiquées à Taïwan ou en Corée du Sud, ou même en Nouvelle-Zélande, qui est également isolée géographiquement, ne serait pas nécessairement couronné de succès en France. Je ne peux pas répondre à la question concernant la nécessité d'isoler un pays ou un autre de ses voisins et l'intérêt de telles méthodes : ce type de question dépasse largement ma compétence de Contrôleur européen de la protection des données.

En revanche, en relation avec l'exemple du squatteur qui a été donné tout à l'heure, je suis tout à fait d'accord avec l'idée que nous devons pouvoir prendre des mesures exceptionnelles dans des circonstances exceptionnelles, mais le droit européen, en particulier le RGPD, est conçu pour faire face à ce type de situation.

Pour finir, j'aborderai la question de la souveraineté stratégique de l'Union européenne dans le domaine numérique, posée par la sénatrice Colette Mélot. Si l'on prend l'exemple des systèmes d'exploitation (« OS ») des téléphones mobiles, leur niveau d'« européanisation » est proche de zéro, parce que tous les téléphones, en Europe, utilisent des technologies proposées par des sociétés américaines. Le problème n'est pas que ces produits soient fabriqués hors de nos frontières, par des producteurs américains, chinois, chiliens ou sud-africains, mais que ces producteurs respectent le droit applicable sur le territoire européen. Si certains pays et certains producteurs ont été en mesure de démontrer que leurs produits sont conformes au droit européen et respectent les droits des citoyens européens, il est très difficile de l'affirmer pour d'autres. Certains pays partagent nos valeurs, mais d'autres ne les partagent pas. Je ne vais pas essayer de vous convaincre que la Chine s'approche des préoccupations qui sont les nôtres en Europe, mais je vous appellerais à examiner les caractéristiques concrètes des solutions proposées plutôt que les pays d'où ces solutions émanent.

Les solutions en open source sont une bonne manière de garantir la transparence, mais je crois que le système de supervision et de contrôle développé en Europe, qui garantit que les solutions développées respectent la vie privée, est bon, même dans les cas où ces solutions ne sont pas à 100 % en open source. Quand je monte dans un avion, je suis bien convaincu que 100 % des équipements ont été vérifiés et fonctionnent correctement, même si la transparence ne va pas jusqu'à me permettre de vérifier sur internet l'ensemble des systèmes dont ma vie dépend...

En résumé, ce modèle de supervision et de contrôle développé en Europe repose sur quatre piliers : premièrement, les initiatives administratives prises par les autorités de protection des données ; deuxièmement, le contrôle par les parlements - c'est votre rôle ; troisièmement, le contrôle par la société civile, les ONG ; quatrièmement - la base de tout l'édifice -, un droit européen bien rédigé, qui comprend deux volets : le droit communautaire et le droit national de chaque pays membre.

Permettez-moi de saluer l'action du Sénat français, qui consulte bien évidemment la CNIL, mais également l'autorité européenne de protection des données, afin de bien appréhender les aspects européens des défis actuels et des solutions proposées.

Aucun commentaire n'a encore été formulé sur cette intervention.

Inscription
ou
Connexion